关于BlackStone
BlackStone是一款功能强大的渗透测试报告工具,该项目可以帮助广大研究人员自动起草和提交渗透测试或安全研究审计报告。该工具允许我们在数据库中提交和存储渗透测试过程中发现的漏洞,并通过内部和外部审计来对漏洞进行分类。除此之外,工具还可以存储我们对漏洞的描述和建议以及漏洞的分类或严重程度信息。接下来,BlackStone便会通过这些信息帮助我们生成包含漏洞关键信息的安全汇总报告。
除了漏洞报告生成功能之外,该工具甚至还可以帮助我们收集某个网站相关的子域名、手机号、社交网络信息和员工电子信箱等信息,及具备一定的OSINT功能。
工具安装
安装Docker
/bin/bash -c "$(curl -fsSL https://get.docker.com)"
systemctl enable docker
systemctl start docker
安装docker-compose
sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
安装BlackStone
git clone https://github.com/micro-joan/BlackStone
cd BlackStone
docker-compose up -d
此时,我们便可以使用下列用户名和密码访问和使用BlackStone了:
用户名: blackstone
密码: blackstone
工具使用
首先,我们需要在工具配置界面中添加Hunter.io和haveibeenpwned.com令牌:
当工具数据库中存储了漏洞信息之后,我们就可以在审计客户功能中注册一个客户以及对应的Web页面。注册完成后,我们就可以查看客户的详细信息,其中将包括下列信息:
1、企业法人姓名;
2、公司所有者的社交网络平台;
3、公司所有者的电子邮件和电话号码;
4、在网络上检测公司所有者的密码泄漏情况;
5、检查公司网站的子域名以及其他相关信息;
6、公司员工的电子邮件信息;
一旦我们将要进行安全审计的公司注册到数据库中之后,我们将会创建一个报告,并添加日期、报告名称和将要审计的公司信息。当我们注册报告时,我们将对其进行编辑,然后选择要在报告中显示的漏洞:
最后,我们将通过点击“概览报告”按钮生成报告,然后将生成的页面保存为“.mht”。随后,我们可以使用Word打开它,以便对生成的报告进行二次处理:
网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。
一些我收集的网络安全自学入门书籍
一些我白嫖到的不错的视频教程:
上述资料【扫下方二维码】就可以领取了,无偿分享
