DockerScan:Docker安全分析&測試工具
DockerScan:Docker安全分析&測試工具
今天給大家介紹的是一款名叫DockerScan的工具,我們可以用它來對Docker進行安全分析或者安全測試。
| 項目主頁 | http://github.com/cr0hn/dockerscan |
|---|---|
| 提交問題 | https://github.com/cr0hn/dockerscan/issues/ |
| 開發者 | Daniel Garcia (cr0hn) / Roberto Munoz (robskye) |
| 使用文檔 | http://dockerscan.readthedocs.org |
| 最新版本 | 1.0.0-Alpha-02 |
| Python版本 | 3.5及以上版本 |
工具快速安裝
> python3.5 -m pip install -U pip > python3.5 -m pip install dockerscan 顯示選項:
> dockerscan -h功能瀏覽
DockerScan目前支持以下功能:
1. 掃描:掃描網絡並嘗試定位Docker註冊信息;
2. 註冊:
a) Delete:刪除遠程鏡像/標簽;
b) Info:顯示遠程註冊表信息;
c) Push:推送鏡像文件(與Docker客戶端類似);
d) Upload:上傳隨機文件;
3. 鏡像:
a) Analyze:查找一個Docker鏡像中的敏感信息(包括環境變量中的密碼、URL和IP等等);
b) Extract:提取Docker鏡像;
c) Info:獲取鏡像元數據;
d) Modify:修改Docker的入口點、向Docker鏡像中註入反向Shell、修改Docker鏡像的運行用戶;
使用文檔
我們現在還在完善DockerScan的使用文檔,目前只能給大家提供我們在RootedCON大會上的演講PPT【點我獲取】,非常抱歉。
我們建議大家通過視頻來了解DockerScan的使用方法:
視頻資料1:https://youtu.be/OwX1e4y4JMk
視頻資料2:https://youtu.be/UvtBGIb3E3o
其他
請不要在沒有得到目標用戶事先同意的情況下實用DockerScan來進行測試,由使用者自身使用不當所帶來的問題開發人員不承擔任何責任,同時我們也對DockerScan所帶來的損失概不負責,請大家妥善使用。
除此之外,希望有能力的用戶能夠為我們貢獻代碼,並幫助我們繼續完善DockerScan。如果使用過程中遇到了任何的問題,可以在本項目的GitHub主頁中留言或者Pull Request。
許可證協議
本項目遵循BSDlicense許可證協議。
DockerScan:Docker安全分析&測試工具