Diamond-Shovel

原创 已于 2025-10-31 00:16:25 修改 · 953 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2025-10-31 00:05:41 首次发布

在这里插入在这里插入图片描述 图片描述

企业级资产测绘管理,开启资配漏补新范式

https://github.com/diamond-shovel/diamond-shovel

如果项目对您有帮助,给我们的项目点一个鼓励的星星⭐️!

SHOVEL

⚠️ 声明

此项目正在积极开发中。预计新版本会引入突破性变更。更新前请务必查看版本更改日志。

如果您觉得项目对您有帮助,请给我们的项目一个鼓励的星星⭐️

🔍 重新定义企业资产管理范式

Shovel 是一款面向现代企业安全团队的开源资产测绘平台。通过融合主被动扫描引擎、多模态数据关联分析和智能风险评估模型,我们致力于解放安全行业重复劳动者的双手、为企业提供更优雅的资产治理解决方案。

✨ 为什么选择shovel

特性维度传统方案SHOVEL 解决方案核心优势体现
资产发现❌ 被动式人工录入✅ 主动+被动自动化发现更全面:多平台资产自动发现,资产面覆盖完全
分析资产❌ 缺乏系统管理,只关注单次任务✅ 资产自动指纹分类,系统性管理资产组更高效:自动构建资产关系网络
扩展能力❌ 封闭式系统✅ 开放式插件架构更自由:API+插件灵活扩展
架构设计❌ 单体架构✅ 核心与中间件分离架构更灵活:支持分布式/边缘部署

🧩 插件生态系统

官方基础插件集(持续更新)

插件名称功能描述标签
fingerprinter根据任务中的URL信息进行CMS指纹识别info-collecting, collector, discovery, identification, CMS
nmapper根据任务中的Host信息,使用Nmap扫描器进行端口探测并识别服务info-collecting, collector, network, nmap, port, discovery, CIDR
fofa_mapper根据任务中的域名信息,使用FOFA进行信息收集info-collecting, collector, domain, FOFA
http_port_visitor根据任务中的开放端口信息,进行相关Web服务的信息收集httpx, info-collecting, collector, ports, http
company_investigator根据任务中的公司/集团名进行ICP备案信息收集info-collecting, collector, company, enscan, unstable
domain_seeker根据任务中的域名信息,进行子域名信息收集info-collecting, collector, website, discovery, domain, DNS, amass
nuclei_reactor根据任务中的URL信息,使用Nuclei扫描器进行漏洞检测vulnerability, detection, nuclei, exploit, CVE
  • 更多社区插件: 插件商店建设中…

🌱 欢迎贡献插件

我们鼓励开发者参与插件生态建设:

  1. 提交插件:将你的插件代码提交到我们的插件市场
  2. 插件审核:经过审核后,优质插件将被纳入官方插件库
  3. 社区奖励:贡献者将获得专属荣誉标识和社区积分

📢 温馨提示

  • 插件编写指南:详细的插件开发Wiki将在近期发布,敬请期待!
  • 插件反馈:如果你对现有插件有任何建议或发现问题,欢迎提交Issue

💡 核心文档

以下是 Shovel Core 的核心文档,主要面向插件开发者和需要深入了解 Shovel 内部机制的用户。
请注意,如果您是普通用户,建议使用快速部署,无需阅读以下文档。

📕 项目结构

项目由shovel_coreshovel-intermediate-layershovel-frontend三个子层构成,具体组成如下图所示

Middleware
Shovel Cores
Shovel Plugins
shovel-db
其他中间件
shovel-core-1
shovel-core-2
shovel-core-N
shovel-plugin-1
shovel-plugin-2
shovel-plugin-N
scheduler
shovel-intermediate-layer
shovel-frontend
nginx
shovel-workbench

关于前端 (shovel-frontend) 和中间层 (shovel-intermediate-layer) 代码

Shovel 项目的核心功能集中在 shovel_core 中。用户可以通过编写和扩展 shovel_core 的插件来实现自定义的功能,无需修改前端或中间层代码。因此,我们目前选择开源 shovel_core 部分,并鼓励社区开发者贡献插件,共同构建 Shovel 生态。 未来,我们也会根据社区的需求和项目的发展情况,考虑逐步开源其他部分的代码。

我们承诺,Shovel 的现有功能将永久免费开放,不会对核心功能进行收费。

🎉 鸣谢

  • https://github.com/owasp-amass/amass
  • https://github.com/wgpsec/ENScan_GO
  • https://github.com/projectdiscovery/nuclei
  • https://github.com/antvis/L7

⭐️ 支持我们

如果 SHOVEL 让您的安全工作更高效,请给我们点亮小星星!这是对我们最大的鼓励~

📌 法律声明:本工具仅限合法授权测试使用,开发者不对滥用行为负责

📧 商务合作:shovel@hscsec.cn | 🌐 官网:https://www.hscsec.cn

ourselves building Shovel plugins!🚀

[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
08-08 2076
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
信息收集工具ARL资产侦察灯塔系统搭建教程
star010-的博客
07-28 718
ARL是一款开源互联网资产测绘与风险发现平台,支持红队演练、渗透测试等场景。它可通过Docker或源码在Linux系统一键部署,采用分布式任务调度引擎,主动探测域名/IP/端口等资产信息,并整合2000+漏洞检测规则,自动识别弱口令、未授权访问等风险。安装时可从备份仓库获取源码,执行脚本完成部署后需开放5003端口,通过https://IP:5003访问。系统内置可视化大屏和告警功能,帮助安全团队建立"发现-评估-监控-响应"闭环,有效提升攻防效率。
DAY24:信息搜集
qq_49433473的博客
08-05 6321
信息搜集,搜索引擎的应用,扫描工具,搜集思路,攻击思路
一款强大的红队资产测绘工具
weixin_46211944的博客
09-19 1730
Kscan不是采用模块化的方式做单纯的功能堆叠,比如某个模块单独获取标题,某个模块单独获取SMB信息等等,独立运行,独立输出,而是以端口为单位输出资产信息,比如端口协议为HTTP,则会自动化进行后续的指纹识别、标题获取,端口协议为RPC,则会尝试获取主机名等等。Kscan没有为了追求效率,而根据端口号与常见协议进行比对来确认端口协议,也不是只检测WEB资产,在这方面,Kscan则更加看重准确性和全面性,只有高准确性的协议识别,才能为后续的应用层识别,提供良好的检测条件。
开源资产/漏洞管理平台使用测评
热门推荐
BlusKing
03-01 1万+
​ 对几款开源资产/漏洞管理平台的简单测评。 ​ TideSec/Mars ​ ​ ​ ​ ​ ​ Mars(战神)——资产发现、子域名枚举、C段扫描、资产变更监测、端口变更监测、域名解析变更监测、Awvs扫描、POC检测、web指纹探测、端口指纹探测、CDN探测、操作系统指纹探测、泛解析探测、WAF探测、敏感信息检测等等! 地址 ​ ​ ​ https://github.com/TideSec/Mars 使用命令 # docker run --name tide-mars -p 5000:5000
私有资产测绘&安全流水线Shovel
weixin_42598278的博客
06-25 31
​ issue(Bug反馈)或Feature(加入Shovel内核级功能开发),至https://github.com/diamond-shovel/diamond-shovel/issues或shovel@hscsec.cn。基础功能轻松使用的同时,我们还将发布更多官方插件,并提供企业插件定制服务。​ 焕然一新的资产态势,无论资产所属本地还是云上,资产配置一目了然。​ 根据系统所记录的资产所生成的资产态势,助力企业资产配置与管理。秒级精度:按秒/分钟/小时/周灵活设定,深夜自动开启全局扫描。
使用Python-Diamond收集监控数据
iov_aaron的专栏
08-05 3652
Diamond是使用python实现的用于收集监控数据的工具,主要收集metrics类型的数据,即数据格式一般是metric timestamp value简单来说, Diamond就是Python实现的守护进程,自动定时的从你的服务或是其它指定数据源中提取数值,并发送到指定的后端(handler) Diamond支持多种后端handler, 可以将数据发送到graphite,opentsdb,m
Shovel 插件组合原理简述与使用指南
hscsec的博客
10-31 758
shovel-plugins系统有极高的灵活度和性能,可根据不同的input & output可以自动组合不同的流水线,采用异步架构,支持异步运行不同的。
How-to-make-a-Shovel-in-Minecraft
03-27
在《我的世界》这款沙盒游戏中,玩家可以利用游戏内的资源进行各种工具和武器的制作,其中铁锹是必不可少的一项工具。... 制作铁锹首先需要准备的材料包括铁锭、木棍。在《我的世界》中,你可以通过以下方式获取这些...
精选资源
node-shovel:从这里铲东西到那里
03-19
npm i @mathquis/node-shovel 用法 shovel --pipeline pipeline.yml --config config.yml --workers 1 --log-level debug --metrics-port 3001 普罗米修斯指标 管道指标在指定端口上以Prometheus格式公开 管道配置...
coal-shovel:提供一个简单的CRUD端点集,用于express和sequelize
05-28
npm i coal-shovel 用法 const CoalCRUD = require ( "coal-shovel" ) ; let sampleCRUD = new CoalCRUD ( ) ; sampleCRUD . registerCRUD ( expressInstance , "route-name" , SequelizeModel ) ; 范例程式码 ...
history-of-the-dbc-chicago-shovel:这是DBC芝加哥铲的官方历史
06-14
DBC芝加哥铲的超级官方历史 ... The Keeper of the Shovel 将维护这个 repo。 这包括将您的规则添加到列表中,将您的铲子传递图片添加到存储库,并将您的姓名添加到下面的贡献部分。 通过珍妮,Bobolinks 2014。
平台政策频变,跨境卖家如何筑牢安全防线?
2501_93135886的博客
11-25 417
跨境电商正在进入精细化运营的新阶段,卖家需要在把握平台政策导向的同时,建立完善的风险防御体系,通过合规经营、供应链优化和安全管理,构建可持续的竞争壁垒,在这个快速变化的环境中,只有适应变革、主动求变的卖家,才能赢得长期发展的机会。针对这类风险,卖家需要建立更严谨的证据管理机制,从产品出厂到发货的每个环节都应保留完整的影像资料,形成可追溯的证据链,在处理客户投诉时,要求提供多角度证据或视频资料,能够有效识别AI生成的虚假内容。
轻量跨云·掌控无界:Portainer CE + cpolar 让远程容器运维像点外卖一样简单——免复杂配置,安全直达对应集群
最新发布
羑悻的博客.
11-25 1万+
篇文章介绍如何在Ubuntu中使用docker本地部署Portainer CE可视化管理工具,并结合cpolar实现公网远程管理容器和镜像。
解析一下传输安全——“它是什么”,更是关于“它为何存在”、“如何实现”以及“面临何种挑战与未来”
xixixi7777的博客
11-24 1060
传输安全是一个通过密码学在不可信网络上构建可信通道的综合性工程。它以TLS协议为核心实现,通过认证、密钥协商、对称加密和完整性校验四步曲,为现代互联网提供了机密性、完整性和真实性保障。理解传输安全,意味着不仅要知其然(HTTPS锁图标),更要知其所以然(背后的密码学原理与握手流程),并清醒地认识到其边界与挑战(信任根、量子威胁、端点安全)。在这个数据即价值的时代,它是数字社会得以正常运转的基石。
Go+Vue前后端分离结构JWT身份认证的安全设计思路
GoFly开发者的博客
11-24 516
本文探讨了JWT在现代Web开发中的优缺点及改进方案。针对JWT无状态性导致无法销毁的问题,提出使用内存或Redis存储token状态;为解决有效期中断用户体验,设计了无感刷新机制;为防范长期token劫持风险,建议采用动态token和单次使用token策略。这些改进措施通过将加密key作为存储标识,既保持了JWT优势又增强了安全性。文章还邀请开发者到指定社区交流更多token验证方案,共同完善认证机制。
Linux 服务器管理 根目录文件夹权限设置 基于用户组实现安全共享
qq_45750017的博客
11-25 458
功能状态developer 组共享访问/data✅文件权限自动继承组✅(SGID)其他用户隔离✅文件无需后期手动修权限✅这种方式适用于科研、服务器协作、团队工程、共享存储等场景,是 Linux 下非常成熟且安全的权限管理方案。
护照阅读器,不止识读护照、多种证件识别、安全特征检测
ocr_ww的博客
11-24 291
启用安全特征检测 为防止有人恶意使用假证进行身份认证、蒙混过关,护照阅读器支持安全特征检测,进行证件鉴伪。支持的安全特征检测包含但不限于: IR B900 Ink:判断红外光下是否有可以识别的文字;BAC:对于 ICAO 9303 标准的电子证件,判断该证是否支持 BAC 认证;紫光迟钝:检测证件是否有紫光迟钝;头像比对:比较芯片头像和版面头像,判断是否为同一个人;MRZ 比对:比较芯片和证件上 MRZ 码。
Goby 漏洞安全通告|Oracle Identity Manager 命令执行漏洞(CVE-2025-61757)
m0_46699477的博客
11-25 363
摘要:Oracle Identity Manager存在高风险命令执行漏洞(CVE-2025-61757),影响12.2.1.4.0和14.1.2.1.0版本。攻击者可通过/api/v1/applications/groovyscriptstatus;.wadl接口绕过认证并执行任意代码,已出现野外利用。建议立即升级并限制接口访问,启用严格输入验证。使用FOFA语句"title='Oracle Access Management'"可自查受影响系统。Goby已提供检测工具,用户应优先处置
Node-Shovel工具:实现数据管道的高效传输与监控
- 列表中的`node-shovel-master`表明该文件可能包含node-shovel的源代码或相关文档。文件名中的"master"可能表示主分支或主版本的代码。 总结以上知识点,我们可以看到node-shovel是一个通过命令行操作的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值