Vulhub 是一个面向大众的开源漏洞靶场,无需 docker 知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
Vulhub 从 2017 年 4 月 9 号第一次 commit,到 2018 年 9 月,持续更新近一年半,已经积累 100 余环境、900 多次提交、2000 多 stars,几乎包括近年来所有热门漏洞,对于漏洞学习者、安全工作者来说,都是一个非常有力的辅助工具。
现在 vulhub 已经被一些甲、乙方互联网公司内部安全团队使用,如阿里云、亚马逊等,也获得了很多使用者的好评与赞助。
Vulhub 的特点:
- 完全开源,几乎不使用非官方的二进制文件、镜像
- 95%以上的环境是从 docker 基础镜像(如 debian:jessie )编译而来,你可以看到每一个环境是怎样建造的
- 所有漏洞靶场均包含漏洞原理、参考链接、复现过程,真正做到完整地了解每一个漏洞
- 使用 docker-compose 编排容器,更贴近生产环境实际情况
- 由一线安全从业者长期维护,能做到在漏洞爆发的短期内获得靶场
- MIT 协议
对于安全从业者来说,vulhub 可以帮你:
- 在漏洞爆发的第一时间,搭建环境并复现漏洞
- 熟悉近些年热门的安全漏洞原理,更好地维护企业安全
- 在安全内、外部培训中作为案例来学习与使用
对于兴趣爱好者来说,vulhub 可以帮你:
- 了解与学习漏洞原理、利用、防御方法
- 学习 Docker/Docker-compose 的构建、编排方法
虽然做 vulhub 已经一年多了,但一直没在 V2EX 发表宣传,趁中午的时间发一下。
- 官网: https://vulhub.org
- Github: https://github.org/vulhub/vulhub
如果感兴趣,可以继续往下看~
另外,我们也在招募一些对 vulhub 感兴趣的贡献者。
我们做了(将要做)一些事情:
- 在聊天室里更加实时的沟通:Discord
- 开始在正式渠道接受赞助商 /支持者的赞助:Pateron、Open Collective,并展示赞助商的 LOGO
- 在Crowdin建立项目,正式开始国际化进程
- 招募一起做事的小伙伴(感兴趣的小伙伴可以在 discord 里私聊我)
下一步具体要做的一些事情:
- 日常
- 增加更多漏洞环境
- 改进老环境
- 国际化
- README 国际化
- 官网国际化
- 解决 git 项目整体过大,导致使用不方便的问题
- 按需下载(只下载需要复现的环境)
- 官网改进与持续维护
- 整体备份
- 备份所有已经编译好的 Docker 镜像
- 编译所有 vulhub 中用到的软件安装包、源码等
- 更多可能的实验性尝试
- 图形化 vulhub
- 不定期讲座:安全与漏洞学习、Docker 与 docker-compose 使用技巧、开源项目发展
- 项目推广:blog、视频、Twitter
因为已经有赞助商,所以 vulhub 会慢慢扩展自己的玩法,也想让更多人,不只是国内安全圈知道这个项目。热心参与开源社区内活跃的小伙伴,你能获得的回报,包括但不限于:
- 物质上的奖励
- 交流 /学习所有和 vulhub 技术栈相关的技术
- 开源社区 /安全圈相关经验与荣誉
当然,参与 vulhub 也有一定的要求:
- 热心开源项目,熟悉 Git 工作流
- 接受 vulhub 的核心思想,并愿意按照我们的工作流参与开发
- 对于参与国际化的同学,需要有英语写作能力
- 对于参与官网等周边开发的同学,至少熟悉 Javascript、Python 中一门语言
- 对于参与 vulhub 持续更新的同学,需要熟悉 Linux、Docker、Git 等工具的使用
如果有兴趣,可以简单填写一下下面的表格,在聊天室里发给 @phith0n ;如果因为各种原因无法参与贡献,也欢迎在聊天室里与我们交流。
附:
- 你的 ID:
- 你的 Github 主页:
- 希望参与哪些工作:
Select Language