hackerone资产获取，并接入扫描器做自动化监控

昨天突发奇想，要不找个从projectdiscovery.io往下拖 资产的脚本

然后设置定时任务接入扫描器 如red+xray ,nuclei,发现新资产直接梭哈，不不就OK了吗？（有利有弊，所有的扫描流量好像一直不小）

然后从https://github.com/PhotonBolt/chaospy，找到了这个脚本

安装好后

使用

--download-hackerone

下载了hackerone的赏金目标

那么是不是有根据，赏金目标来写的sh脚本来实现自动化扫描呢

来看GitHub这个项目

https://github.com/iamthefrogy/nerdbug

其中它使用了，我们并不能使用的一款产品来做信息通知，但是它使用的脚本里调用了notify作为通知组件（主要是写的简单，然后想要的都包含了，熟悉点Linux 就可以直接改了它）

在notify的GITHUB库里，我们可以发现

https://github.com/projectdiscovery/notify

可以使用邮箱来代替，通知手段

拿163邮箱来举例

smtp:
- id: email
smtp_server: smtp.163.com
smtp_username: 你的邮箱
smtp_password: 这里不是你的邮箱密码，而是授权密码，如何获取看下面
from_address:
smtp_cc:
-
smtp_format: "{{data}}"

复制

点进去后

在这里新增授权

将配置更新进$HOME/.config/notify/provider-config.yaml

更改脚本

删除红框里的代码

运行一次看看？可以看见已经推送过来了

我运行了一下，虽然找到了几个，但是重复率很高，建议可以从他的这个脚本里去替换工具，专一 一个 漏洞查找

比如XSS这种 或者重复率低的，累死了

其实可以在调试的过程中，加入了自己想加入的工具来组合发现漏洞，或者抛弃 nuclei 作为核心的扫描器而用其他的专用扫描器来代替效果可能更好

但是脚本也有个缺陷，只依靠了一个被动源，来获取资产，有点单一，可以通过脚本来集成一些自己写的其他资产获取脚本，然后统一集合，去重。

最后
从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。
因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。
干货主要有：
①1000+CTF历届题库（主流和经典的应该都有了）
②CTF技术文档（最全中文版）
③项目源码（四五十个有趣且经典的练手项目及源码）
④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）
⑤ 网络安全学习路线图（告别不入流的学习）
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2022密码学/隐身术/PWN技术手册大全
扫码领取
<img src="https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1673601460401.png?t=0.5084107994384632" style="margin: auto" />