creditease-sec / insight2 Goto Github PK

View Code? Open in Web Editor NEW

424.0 424.0 113.0 5.89 MB

Dockerfile 0.05% Python 67.29% CSS 27.25% JavaScript 0.23% HTML 1.66% Shell 0.03% Less 3.50%

insight2's People

Contributors

Stargazers

Watchers

Forkers

chillimeat leeboble pyking kukieblue laolong123 zwf8558 calcium13 haoirui r00tak47 kar9ook xysh90hou lordlight darius-1024 zealerv 02bx cor0ps jorson-chen mr-robot-z trusttruth ddzzj test2504 rockpanda alanxie1986 0102redirects yueliangshuile chaos-26 earlvking myblackmanba ananan dk47os3r arpgate-lc li8u99 yougar0 419066074 hi-kk dashumonitor1 norelay2020 w4n95 ob404 michaelcandoo hackeyes wivd yinyistudent yanjun42637 safercracker weiweiqy princefpf fireskyno1 a0xpg aigangjingye wanglibin1314 machanghai502 hongshantou scopion chuanwei xuetaibai tao1tao l-mh-95 hitnias michael1981 ivybao0628 87993xiaojiang wang0098 waterovo zhecong bigbestway austfish archimesan polarpeak r4b3rt avgirl crackercat zzhsec savior325 xiaoxiaoafeifei jimzhu0804 laozhudetui xinxiemy buyaopa linhai2015 lwzsoviet tttttint sandysnow3 mr-lover ling1zhi bawed blanktang abrahamzn forg4tsec yekongxiaogang istoliving huaijinli lxd870911 zxcv0221 nellochen reject404 xjzyy skye96 ir0nhea2t lorhua

insight2's Issues

配置安全官了，但是仍未有审核

知识栏目下怎么新建文章呢

这部分功能要自己新增嘛？我是用源码安装的。

资产处存在未授权访问漏洞

asset/select
asset/download

漏洞证明上传图片失败怎么回事呢

提示已经上传成功了实际是404，并没有上传成功
请问一下怎么解决呢

是否集成过嗅探工具自动发现资源

insight1或insight2是否集成过嗅探工具自动发现资源？如果集成了怎么用？

请问怎样调试接口，有相关指导吗？

资产到底指的什么？

请问资产到底指的什么，指的IP或域名？那设置选项（公网/https）有啥用？应用类型指的什么，与应用的类型（APP/WEB应用）有啥关系？

源码部署后密码是什么？不是admin!Aa2020？

admin/admin!Aa2020 一直报用户名密码错误

项目不维护了？

windows 10 下报错，请问如何解决？

资产管理问题

资产能否批量导入
能否加入资产自动探测功能

请问是否有批量上传的功能

您好请问是否资产、漏洞新增是否有批量上传的功能？看到源代码里面已经预留相关需求

[bug]后台-单个漏洞查询接口ACL配置错误

作者您好！
发现在 /action/vul.py 第173行代码中，@url(r"/vul/get", needcheck = False, category = "漏洞") ，
其中needcheck=False 因此并没有加入ACL策略中，导致开发可以越权查看不属于他/组的漏洞详情。

修复方法：
设置needcheck=True 这样可以在后台-编辑角色-权限列表中进行按需勾选，防御权限绕过，提升安全性。

修改needcheck=True 后可以按需配置，避免默认就被所有登录用户可访问。

新增应用选择关联资产只显示第一页资产？只有10个，其他搜索也不显示出来

新增应用选择关联资产只显示第一页资产？只有10个，其他搜索也不显示出来，无法选定保存

正式版注册用户地址是啥啊

批量导入漏洞接口问题

大佬好
1、想问_id是做什么用的，是什么算法生成的。
2、调试api/vul/add 接口的时候一直报错nonetype object has no attribute 'id',这里传的id ，是appid还是_id,传的时候怎么生成_id

大神，能否开源一下前端未build的源码

“编辑漏洞” 中，漏洞证明和解决方案有bug

“编辑漏洞” 中，漏洞证明和解决方案编写完后，点击漏洞查看，“解决方案”显示“无”，点击跳转至“文章”；编写的解决方案内容显示在了漏洞证明内容的最下面了。

邮件发出发给了录入漏洞的人，而不是漏洞相关的系统负责人。

邮件发出收不到。 action vul.py

@url(r"/vul/send_notification_email", category = "漏洞")
class VulSendNotificationEmail(LoginedRequestHandler):
"""
漏洞手动发送邮件

    id: 漏洞id
    title: 标题
    content: 内容
"""
def get(self):
    self.post(self)

def post(self):
    _id = self.get_argument("id")
    title = self.get_argument("title", "")
    content = self.get_argument("content", "")
    users = get_vul_relate_users2(_id)
    user_ids = [user.get("id") for user in users]
    settings = SystemSettings.get_or_none()
    global_setting = json.loads(settings.global_setting)

    vul = Vul.get_or_none(Vul._id == _id)

users = get_vul_relate_users2(_id)
这里的代码只拿到了发布或修改漏洞的人的信息，没有拿到应用系统的所有者的信息。调试的结果是我发布了一个漏洞，是别的系统的，但是发个邮件或短信发给了自己（短信是我自己加的。）