『洞察』是宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。
『洞察』使用了 Python 语言进行开发,利用 Flask 框架+MySQL+Docker 部署实现。
一、部署和启动 mysql
docker pull mysql:5.7.13
docker run -d -p 127.0.0.1:6606:3306 \
--name open_source_mysqldb \
-e MYSQL_ROOT_PASSWORD=root \
mysql:5.7.13
二、创建数据库和账号权限配置
$ mysql -h 127.0.0.1 -P 6606 -u root -p
Enter password:root
mysql> CREATE DATABASE IF NOT EXISTS vuldb DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
mysql> grant all on vuldb.* to vuluser@'%' identified by 'vulpassword';
mysql> flush privileges;
mysql> quit
三、部署和启动 APP
1、下载源码
$ git clone https://github.com/creditease-sec/insight.git
2、修改 srcpm/config.py 配置文件
1)修改公司邮箱后缀
\#公司邮箱后缀限制,只能使用公司邮箱注册账号。
CORP_MAIL = '@qq.com'
2)修改邮件 CC 抄送列表
\#平台发送的每封邮件的邮件抄送列表,可以设置发送给安全部邮箱列表,可自行修改,也可以保持不变为空
'''
示例:
CC_EMAIL = ['xxx1@creditease.cn',
'xxx2@creditease.cn',
]
'''
CC_EMAIL = [
]
3)修改开发模式的邮箱服务器和发件邮箱配置
\# 以开发模式的配置运行,使用测试邮件服务器,并开启debug模式
\# 平台发邮件账号设置
SRCPM_MAIL_SENDER = '安全部
4)修改生产模式的邮箱服务器和发件邮箱配置
\# 以生产模式的配置运行,使用生产邮件服务器,并关闭debug模式
\# 平台发邮件账号设置
SRCPM_MAIL_SENDER = '安全部
3、修改定时周期邮件 mail_sender.py 的配置
\#平台发送的每封邮件的邮件抄送列表,可以设置发送给安全部邮箱列表,可自行修改,也可以保持不变为空
'''
示例:
CC_EMAIL = ['xxx1@creditease.cn',
'xxx2@creditease.cn',
]
'''
CC_EMAIL = [
]
\#主机名设置
SERVER_NAME = 'xxx.creditease.corp'
\# 平台发邮件账号设置
SRCPM_MAIL_SENDER = '安全部
4、修改 srcpm/app/src/forms.py 漏洞来源下拉列表
''' 下拉选项 '''
source_choices = [('',''), (u'安全部', u'安全部'), (u'YISRC', u'YISRC'), (u'公众平台', u'公众平台'), (u'合作伙伴', u'合作伙伴')]
5、在项目根目录下部署和启动 APP
\# 拉取镜像
docker pull daocloud.io/liusheng/vulpm_docker:latest
或
自己构建镜像
docker build -t='vulpm_docker' .
\# 在项目目录下启动容器,确保当前目录下存在srcpm文件夹,MAIL_PASSOWRD替换为自己邮箱服务器的密码。
$ docker run -d -p 127.0.0.1:9000:5000 \
--link open_source_mysqldb:db \
--name open_source_srcpm \
-v $PWD/srcpm:/opt/webapp/srcpm \
-e DEV_DATABASE_URL='mysql://vuluser:vulpassword@db/vuldb' \
-e SrcPM_CONFIG=development \
-e MAIL_PASSWORD='xxxxxx' \
daocloud.io/liusheng/vulpm_docker:latest \
sh -c 'supervisord -c srcpm/supervisor.conf && supervisorctl -c srcpm/supervisor.conf start all && tail -f
本文转载自宜信技术学院网站。
原文链接:http://college.creditease.cn/detail/272
更多内容推荐
Discourse 的左侧边栏可以修改吗
在默认的 Discourse 配置中,我们左侧的边栏可以根据自己的要求进行修改吗?
2022-11-30
114|如何为 ESP32 安装 MicroPython?
2023-02-15
使用 hydra 对端口进行爆破
2022年,网站的防护(sql,xss...)的安全保护也已经上升了一个等级,但是由于管理员的安全意识薄弱,网站弱口令漏洞依然猖獗,不信可以看补天的漏洞提交记录,弱口令依然是漏洞中的佼佼者,当然弱口令并不仅限于网站的后台登陆弱口令,还有端口,比如 Ftp:21,
2022-01-21
通过 linux-PAM 实现禁止 root 用户登陆的方法
在linux系统中,root账户是有全部管理权限的,一旦root账户密码外泄,对于服务器是致命的威胁;出于安全考虑,通常会限制root账户的登陆,改为配置普通用户登陆服务器后su切换到root账户使用,这种方式较为安全,本文主要介绍如何通过linux-PAM限制账户登陆
2022-10-13
3. ORM 框架概览:GORM 和 Ent 分析
2023-09-26
Android 高工面试(难度:四星,Android 开发三年月薪才 12K
weakActivity = new WeakReference<>(activity);name = intent.getComponent().flattenToShortString();}
2021-11-05
爬虫练习题(五)
题目:利用 referer 防盗链参数反爬数据,以梨视屏为例
2022-10-10
任意代码执行漏洞复现
在 PostgreSQL 数据库的 jdbc 驱动程序中发现一个安全漏洞。当攻击者控制 jdbc url 或者属性时,使用 PostgreSQL 数据库的系统将受到攻击。 pgjdbc 根据通过 authenticationPluginClassName、sslhostnameverifier、socketFactory 、sslfactory、sslpasswordc
2022-11-20
5、案例 - 行级锁分析
2023-09-27
CentOS6 搭建 nginx+uwsgi+flask
记一次使用CentOS6搭建nginx+uwsgi+flask的具体步骤,以及遇到问题的解决方案。
2022-08-04
linux 驱动开发 _ 文件系统本地挂载
介绍Linux开发根文件系统挂载、NFS文件系统配置,UBOOT环境变量配置,完成文件系统启动,数码相册功能。
2022-06-04
22|角色(下):失败的来往和成功的钉钉后面为什么都是陈航(无招)?
我最想聊的还是无招这个人不绝望不放弃的奋斗精神,在穷途末路下还能够找到出路的状态。而这,也是我们在接下来面对不确定社会最大的确定性——让自己变得更好,让自己愿意探索,让自己接受失败。
2022-09-07
安全 RCE 之未授权访问分析
安全研究员vakzz于4月7日在hackerone上提交了一个关于gitlab的RCE漏洞,在当时并没有提及是否需要登录gitlab进行授权利用,在10月25日该漏洞被国外安全公司通过日志分析发现未授权的在野利用,并发现了新的利用方式。根据官方漏洞通告页面得知安全的版本为13
2021-12-03
Docker 发布 / 上传镜像到 dockerhub&& 下载 / 拉取镜像 && 删除 dockerhub 镜像
我们先去官网注册dockerhub的账号和密码,官网在下方↓https://hub.docker.com/登录到这个界面。
2022-11-16
Gitlab 运维篇之——备份及恢复
gitlab备份及恢复
2022-06-22
SQL 注入进阶篇一 php 代码审计
在实际的网站中和用户的输入输出接口不可能想那样没有防御措施的。现在各大网站都在使用waf对网站或者APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。所以我们就需要绕过waf,这篇文章就用代码审计的方式给大家讲解一些sql的绕过技巧。
2021-10-15
Spring 中的设计模式
2022-09-10
31|项目实战与部署:如何实现接口部署与访问?
在企业应用当中,把项目部署到服务器上,不但能让前端访问接口,也能供更多用户使用我们的平台。
2023-07-03
docker 修改容器的端口、容器名、映射地址......
下面是运行中的docker环境,因为实际环境,我们需要修改docker映射端口,现在是8088端口,我们要修改他改成8099端口。
2022-11-16
centos7
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql
2022-05-03
推荐阅读
vue 为何不允许子组件修改父组件 prop 传值
2022-12-12
第三节 目标计划管理“三九”说明书之二——定计划
2023-10-17
04.8 招助理淘宝增长
2023-10-17
2022 年的各大平台小游戏生态发展到哪一步了?
2022-12-16
基于 Linux 系统的 PXE 搭建方法
2023-04-27
01. 再小的公司也要有战略
2023-10-17
厦门等保备案平台是哪个?多久可以办好?
2023-04-27
电子书
大厂实战PPT下载
换一换 史凯 | 极客邦双数研究院特聘专家,精益数据方法创始人
刘文辉(知兵) | 阿里巴巴 高级技术专家
俞天翔 | 快手 增长研发大型活动/激励前端负责人
评论