1、简介
在日益复杂的网络安全威胁面前,快速准确地发现和验证系统中的安全漏洞,是每个网络安全从业者的核心任务。Afrog 正是一款为此而生的优秀工具 —— 它是一款高性能、低误报率、支持自定义 PoC 的开源漏洞扫描器,深受安全研究人员和红队工作者青睐。
afrog 是由安全社区打造的一款专注于快速验证漏洞的工具,旨在帮助安全从业者更高效地识别和修复系统中的风险。相比传统扫描器,afrog 更加轻量灵活,适用于各种真实攻防场景。
✅ 开源地址:https://github.com/zan8in/afrog
2、特点
- 开源免费:社区驱动,源码透明,使用无门槛。
- 快速稳定:高并发执行,自带资源优化,扫描过程稳定可靠。
- 低误报率:内置规则精细匹配,减少误报干扰。
- 支持自定义 PoC:兼容 Yaml 格式,灵活扩展自己的漏洞库。
- HTML 报告输出:一键生成详细的扫描报告,便于归档和复现。
- 社区活跃:有专属交流群支持问题交流与 PoC 分享。
3、漏洞类型
afrog 自带多种类型的漏洞检测能力,包括但不限于:
- CVE 漏洞(公开安全漏洞编号)
- CNVD 漏洞(国家信息安全漏洞库收录)
- 默认弱密码
- 信息泄露
- 指纹识别
- 未授权访问
- 任意文件读取
- 命令执行等
用户也可以基于实际业务编写自定义漏洞规则,以适配不同场景下的检测需求。
4、 使用场景
| 场景 | 描述 |
|---|---|
| ✅ 安全测试/渗透测试 | 对目标系统快速做初步探测 |
| ✅ 红队行动 | 编写专属 PoC,提高攻击效率 |
| ✅ 安全运维 | 日常检查系统安全基线与漏洞情况 |
| ✅ 自动化平台集成 | 可作为扫描模块集成进 CI/CD 或安全平台 |
| ✅ 安全教育 | 演示漏洞原理,辅助教学实验 |
5、安装部署
前提条件
- 安装 Go(版本 ≥ 1.19)
安装方法
方式一:使用预编译二进制文件
root@huqi-virtual-machine:~# wget https://github.com/zan8in/afrog/releases/download/v3.1.8/afrog_3.1.8_linux_amd64.zip
root@huqi-virtual-machine:~# unzip afrog_3.1.8_linux_amd64.zip
Archive: afrog_3.1.8_linux_amd64.zip
inflating: LICENSE
inflating: README.md
inflating: afrog
方式二:源码构建
git clone https://github.com/zan8in/afrog.git
cd afrog
go build cmd/afrog/main.go
./afrog -h
方式三:使用 go install
go install -v github.com/zan8in/afrog/v3/cmd/afrog@latest
6、基本用法
扫描单个目标
afrog -t https://example.com
使用自定义 PoC
afrog -t https://example.com -P mypocs/
模糊匹配 PoC 名称(关键词)
afrog -t https://example.com -s weblogic,jboss
按严重程度过滤扫描
afrog -t https://example.com -S high,critical
扫描多个 URL
afrog -T urls.txt
7、Web 模式 + 漏洞数据库查看
使用 -web 参数可以将漏洞信息持久化存入 SQLite3,并通过浏览器查看:
afrog -web
默认访问地址为:http://127.0.0.1:16868,可查看历史记录、关键字搜索、按漏洞等级筛选等功能。
8、配置文件说明
首次运行 afrog 时,会自动生成配置文件 ~/.config/afrog/afrog-config.yaml,其中包括反连平台(如 ceye、dnslog)的 API 配置,用于验证不回显的漏洞(如命令执行等)。
示例配置(使用 Ceye)
reverse:
ceye:
api-key: "你的APIKEY"
domain: "你的ceye子域名"
9、可作为库调用
开发者可以将 afrog 嵌入自定义 Go 项目
package main
import (
"fmt"
"github.com/zan8in/afrog"
)
func main() {
if err := afrog.NewScanner([]string{"http://example.com"}, afrog.Scanner{}); err != nil {
fmt.Println(err.Error())
}
}
10、总结
afrog 是一款兼具 轻量级、高扩展性与社区活跃度 的漏洞验证利器,非常适合红队、渗透测试、安全运维等多个场景。无论你是刚入门的安全爱好者,还是经验丰富的红队工程师,afrog 都能助你提升效率、安全防御与验证能力。
声明:来自IT运维大爆炸,仅代表创作者观点。链接:https://eyangzhen.com/1899.html
