项目说明

• 本项目旨在帮助安全人员少，业务线繁杂，周期巡检困难，自动化程度低的甲方，更好的实现企业内部的安全管理；也可用于白帽子进行SRC信息整合留存
• 本项目模块大都支持免编程自定义，前期可通过修改 initdata.py 预定义数据进行定制，变成资产属性和内部关联关系
• 因某些原因，项目已屏蔽自动化探测模块，但提供周期同步和延时调用扫描器两种调用模组，可根据调用示例进行扩展，同时提供同步接口进行其他平台的集成
• 项目发布地址唯一： https://gitee.com/gy071089/SecurityManageFramwork， 其他来源不进行技术维护
• 项目前端地址唯一： https://gitee.com/im_a_pig/semf-pro-admin-vue ，其他来源不进行技术维护,前端基础easyweb付费版，未授权不可商用
• 项目使用需遵守当地法律，未授权测试都是违法行为

功能说明

• 业务线管理： 对资产进行分组或根据企业业务线进行拆分，便于进行资产标记和责任人定位
• 资产管理： 该模块主要用于企业内部资产的管理，可根据需要进行资产类型自定义，无需动态组合资产属性和前端展示
• 漏洞管理： 该模块用于集中管理企业内部资产的安全风险，与资产强关联
• 任务管理： 该模块支持周期、延时、人工三种模式创建任务，分别调用不同的任务逻辑，可根据样例进行少量编码集成其他安全扫描器或数据集成
• 流程管理： 该模块为隐性模块，漏洞、任务的的执行步骤均由此进行自定义，流程变更仅需进行init设置，如需流程联动其他操作，可编写相应模块进行处理
• 日志管理： 该模块为隐性模块，默认情况下仅显示前N条登录日志，其他日志输出需手动操作，后续可能完善
• 安全工具： 该模块可集成一些有意思的安全工具，当前保留回显管理，用法同类似dnslog，但是对一些盲攻击会有奇效
• POC管理： 该模块因POC动态加载问题，进行了隐藏，但是保留了代码，希望进行poc管理共享的同学可以进进行改善
• 系统设置： 该模块可进行一些企业基础信息设置，如人员，部门，终端，扫描器设置等基础数据管理

其他说明

• 各企业实际情况不同，任何平台都无法保证完全适配当前需求，如果无二次开发能力，不建议使用该平台
• 项目当前文档缺失，正在不断完善，如有需求，可在本项目下提出相应的需求（但不保证完成时间）

演示环境

• 地址： https://demo.semf.top
• 账号： semfpro
• 密码： semfpro2020

安装环境

以下为基础安装环境，安装前需保证环境正常可用，也可选择virtualenv

• python3.8+ (部分包需保证python3.8下运行)
• pip (ubuntu等系统默认python环境不包含pip，需单独安装）
• mysql (可选，默认sqllite)

安装指南

获取项目代码

git clone https://gitee.com/gy071089/SecurityManageFramwork.git --depth=1

切换至项目根目录

cd SecurityManageFramwork

修改配置文件（可选）,可修改debug模式，cookie过期时间等，数据库等信息

vi SemfPro/settings.py

自定义基础数据（可选）, 可修改包括资产属性，漏洞类型、等级在内的预定义数据，可以后台添加

vi initdata.py

执行初始化脚本

chmod +X init.sh
./init.sh

执行完成后，访问localhost:8000 即可