DockerScan:Docker安全分析&测试工具

DockerScan:Docker安全分析&测试工具

今天给大家介绍的是一款名叫DockerScan的工具,我们可以用它来对Docker进行安全分析或者安全测试。

项目主页 http://github.com/cr0hn/dockerscan
提交问题 https://github.com/cr0hn/dockerscan/issues/
开发者 Daniel Garcia (cr0hn) / Roberto Munoz (robskye)
使用文档 http://dockerscan.readthedocs.org
最新版本 1.0.0-Alpha-02
Python版本 3.5及以上版本

工具快速安装

> python3.5 -m pip install -U pip > python3.5 -m pip install dockerscan

显示选项:

> dockerscan -h

功能浏览

DockerScan目前支持以下功能:

1.      扫描:扫描网络并尝试定位Docker注册信息;

2.      注册:

a)        Delete:删除远程镜像/标签;

b)       Info:显示远程注册表信息;

c)        Push:推送镜像文件(与Docker客户端类似);

d)       Upload:上传随机文件;

3.      镜像:

a)        Analyze:查找一个Docker镜像中的敏感信息(包括环境变量中的密码、URL和IP等等);

b)       Extract:提取Docker镜像;

c)        Info:获取镜像元数据;

d)       Modify:修改Docker的入口点、向Docker镜像中注入反向Shell、修改Docker镜像的运行用户;

使用文档

我们现在还在完善DockerScan的使用文档,目前只能给大家提供我们在RootedCON大会上的演讲PPT【点我获取】,非常抱歉。

我们建议大家通过视频来了解DockerScan的使用方法:

视频资料1:https://youtu.be/OwX1e4y4JMk

视频资料2:https://youtu.be/UvtBGIb3E3o

其他

请不要在没有得到目标用户事先同意的情况下实用DockerScan来进行测试,由使用者自身使用不当所带来的问题开发人员不承担任何责任,同时我们也对DockerScan所带来的损失概不负责,请大家妥善使用。

除此之外,希望有能力的用户能够为我们贡献代码,并帮助我们继续完善DockerScan。如果使用过程中遇到了任何的问题,可以在本项目的GitHub主页中留言或者Pull Request。

许可证协议

本项目遵循BSDlicense许可证协议。

时间: 2024-10-12 22:38:38

DockerScan:Docker安全分析&测试工具的相关文章

转:智能模糊测试工具 Winafl 的使用与分析

本文为 椒图科技 授权嘶吼发布,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/2800.html 导语:Winafl是一个文件格式及协议漏洞的半自动发现工具,可以帮助我们发现各种使用特定格式文件的应用软件漏洞,如文件编辑软件.图片查看软件.视频播放软件等. Winafl是Linux下的智能模糊测试神器afl-fuzz的Windows版本.afl-fuzz从2013年发布到现在,发现了很多真实的漏洞,被广大网络安全从业人员所使用,现在,Windows版

Android应用测试工具ThreadingTest查错实例分析

1      ThreadingTest产品简介 ZOA公司研发的ThreadingTest智能型测试工具系列一期,是基于程序源代码的白盒测试工具.采取前端分析器和后端结果分析分离的技术路线,实现对多种语言的编译器级分析和多维度测试. ThreadingTest的核心思想来源于非线性复杂软件工程体系.通过ThreadingTest基于测试用例集与动态代码覆盖的双向追溯的专利技术,使得对于大型应用系统的维护和修改变得不再盲目和极易出错,使得对大型软件的系统测试期和维护期的测试过程从无量化依据到有明

转:渗透测试工具实战技巧合集

转自:http://www.freebuf.com/sectool/105524.html   选择性的删了一部分内容 最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略 # 主机发现,生成存活主机列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt # 端口发现,

渗透测试工具实战技巧合集

最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略 # 主机发现,生成存活主机列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt # 端口发现,发现大部分常用端口 # http://nmap.org/presentations/BHDC08/bhdc08-slid

12个强大的Web服务测试工具

在过去的几年中,web服务或API的普及和使用有所增加. web服务或API是程序或软件组件的集合,可以帮助应用程序进行交互或通过形成其他应用程序或服务器之间的连接执行一些进程/事务处理.基本上有两种类型的web服务——基于互联网协议,REST和SOAP推动数据和信息的通讯. 由于这些web服务暴露于网络并且分布于不同的网络,所以它们很容易受到风险和安全威胁,从而影响基于它们的进程.因此,web服务或API测试非常有必要,可以确保它们执行正确并正确地响应查询. 市场上有不少商业和开源的测试工具可

网站压力测试工具 Webbench

webbench最多可以模拟3万个并发连接去测试网站的负载能力 Webbench是有名的网站压力测试工具,它是由 Lionbridge公司(http://www.lionbridge.com)开发. Webbech 能测试处在相同硬件上,不同服务的性能以及不同硬件上同一个服务的运行状况.webBech的标准测试可以向我们展示服务器的两项内容:每秒钟相应请求数 和每秒钟传输数据量.webbench不但能具有便准静态页面的测试能力,还能对动态页面(ASP,PHP,JAVA,CGI)进行测试的能力.还

android移动app测试几款移动端测试工具分享

接触移动app测试时间不长,从开始的学习时候开始知道eclipse,但是至今不是很懂,除开创建虚拟机,进行一下log的抓取,还有分析内存泄露.以及监控一下app的资源占用之外其他并不清楚.而且pc端的不方便是显而易见的,每次都需要连接调试模式并不见得有多方便,对于一些简单的性能测试,使用移动端的测试工具会更方便,结果更直观. 首先,我接触到第一款就是网易的Emmage,又名机关枪,这款app我感觉还是最成熟最直接的,操作简单,主要用于监控单个App的CPU,内存,流量,启动耗时,电量,电流等性能

常用的HTTP测试工具谷歌浏览器插件汇总

网页的开发和测试时最常见的测试就是HTTP测试,作为曾经的测试人员在这方面还是略知一二的.其实做网页测试工作是非常繁琐的时期,有时候甚至是无聊重复的,如果没有网页测试工具的帮助的话,测试人员会越做越怀疑自己的价值.只有利用插件去提示工作效率才能让测试人员有更多的时间去做更有意义的工作,创造更多的价值.所以今天在chrome插件网整理一个专题汇总常见的HTTP测试工具谷歌浏览器插件帮助测试人员提高工作效率. 1.Postman和Postman Interceptor 说的网页http测试的,只要是

Linux下四款Web服务器压力测试工具(http_load、webbench、ab、siege)介绍

一.http_load程序非常小,解压后也不到100Khttp_load以并行复用的方式运行,用以测试web服务器的吞吐量与负载.但是它不同于大多数压力测试工具,它可以以一个单一的进程运行,一般不会把客户机搞死.还可以测试HTTPS类的网站请求. 下载地址:http://soft.vpser.net/test/http_load/http_load-12mar2006.tar.gz 安装#tar zxvf http_load-12mar2006.tar.gz#cd http_load-12mar