私有资产测绘&安全流水线Shovel

私有资产测绘&安全流水线Shovel(Preview)发布

发布版本：Shovel-v0.1.7

当前项目发布版本 Shovel-v0.1.7(预览版) | 企业级资产测绘管理，开启资配漏补新范式

快速开始：https://diamond-shovel.github.io/shovel-wiki/#/quick-start

WIKI: https://diamond-shovel.github.io/shovel-wiki/#/

注意: 该项目与相关功能插件社区正在积极开发中，未来将发布突破性变更版本。

更新前建议查看版本变更日志。

如果您觉得项目对您有帮助，请到我们的核心库https://github.com/diamond-shovel/diamond-shovel给我们的项目点一个鼓励的星星️！

注: 以上链接可能在国内部分地区访问缓慢，请使用科研网络访问。

---

基础功能集与部分页面

​ Shovel的潜力远不仅限于传统的资产管理三件套！

​ 不仅仅是子域名自动扫描、端口自动扫描、指纹自动识别。基础功能轻松使用的同时，我们还将发布更多官方插件，并提供企业插件定制服务。

应用场景与使用逻辑

任务案例

​ 每天0点、12点，系统自动从A企业备案中以增量的方式查询域名，并通过45个数据源获取其子域资产。同时，使用Fofa API查询目标资产、对该C段所解析的目标域名的超过5个C段进行扫描，并通过扫描目标端口、筛选目标WEB服务、识别目标高危指纹、提取关键信息、从而对所获取的信息进行漏洞扫描。

策略创建

​ 快速部署，配置专属于你的扫描策略！

一键启动

​ 简洁明了任务创建，快速配置一键启动。

战果查看

​ 扫描完成，资产收录清晰可见。

​ 不止是传统资产管理，主被动收录与录入更使影子无所遁形。

资产态势

​ 焕然一新的资产态势，无论资产所属本地还是云上，资产配置一目了然。

​ 根据系统所记录的资产所生成的资产态势，助力企业资产配置与管理。

漏洞管理

​ 漏洞尽收眼底，扫描结果一览无余。

​ 不仅支持漏洞信息快速查看，一键导出助力漏洞补偿。

注: 插件组合方式非仅有展示组合，用户可根据WIKI根据需求自行组合。

（后续将推出插件组合有向图，提供官方插件组合方案）

---

其它功能

此外，Shovel-v0.1.7还发布了其它基础功能。

插件管理

插件管理系统：打造您安全的瑞士军刀。

即插即用生态：共建共享社区插件生态圈。

极低开发成本：模版化开发简单编写插件。

可编辑扫描插件：等保合规/红队闪电战/资产接管多种情况均可适配 。

Shovel 的插件商店 和开放SDK ，使其安全能力像乐高积木般自由组合。

无论是调用 FOFA/API 与外部数据整合，还是集成 Nuclei 进行漏洞验证。无需重复造轮子，直接复用社区沉淀即为最佳实践。

定时任务

定时任务：解放双手的自动化武器

秒级精度：按秒/分钟/小时/周灵活设定，深夜自动开启全局扫描 。

增量扫描模式：持续追踪新增资产。

资产态势

️ 资产热力图：看清边缘战场

智能探测：主机运行情况清晰展示。

地理位置展示：轻松查看边缘资产 。

Shovel初步尝试实现将资产从表格上冰冷的文字转换为空间感知，使工程师可快速发现资产的差同。

---

温馨提示

​ 我们正在全力推进Shovel的开发工作，新版本将带来突破性更新。当前预览版可能存在问题，请随时向开发组提出Issue报告！

​ issue(Bug反馈)或Feature(加入Shovel内核级功能开发)，至https://github.com/diamond-shovel/diamond-shovel/issues或shovel@hscsec.cn。

---

鸣谢(得到开发者允许且被开发组使用并加入了官方插集):

https://github.com/owasp-amass/amass

https://github.com/wgpsec/ENScan_GO

https://github.com/projectdiscovery/nuclei

https://github.com/antvis/L7

---

加入本项目开发

请投递联系方式和简历至h.w@hscsec.cn

---

️ 法律声明

本工具仅限合法授权的安全测试使用，禁止用于未授权渗透测试

---

shovel社群

扫描下方二维码加入shovel交流群