cloudwales/laravuln
GitHub: cloudwales/laravuln
一款针对 Laravel/Composer 依赖的轻量级终端漏洞扫描工具,通过解析 composer.lock 并对接 OSV.dev 数据库,帮助开发者在部署前发现并修复潜在的安全风险。
Stars: 0 | Forks: 0
# laravuln
这是我的第一个公开 Go 项目,希望有人会发现它很有用。我自己已经使用了一段时间,但在野外发现了更多漏洞之后,我认为将其发布是一个好主意。文档是由 AI 生成的,因为我不擅长这部分,但我已经对其进行了大量更新。
**用于 Laravel/Composer 依赖项的终端扫描工具。**
通过解析 `composer.lock` 并根据 OSV.dev 检查软件包,来查找存在漏洞的软件包(包括 RCE、身份验证绕过以及其他严重问题)。
专为任何具有安全意识的 Laravel 开发者构建,他们希望在严重的已发布漏洞**影响**到生产环境**之前**将其捕获。
## 功能
- 解析 `composer.lock`(包括 dev 依赖项)
- 批量查询 **OSV.dev**(Packagist 生态系统)——Composer 漏洞和公共漏洞利用的最佳来源
- 带有严重性高亮显示(例如 CRITICAL 显示为红色等)的漂亮彩色表格输出
- PoC 寻踪(`--pocs` 标志)——高亮显示看起来像漏洞利用/PoC 的参考链接
- 用于 CI/CD 的 JSON 输出模式
- 发现漏洞时以退出码 1 退出(非常适合流水线)
- 轻量级——仅使用标准库 + Cobra + tablewriter + fatih/color
## 如何使用
确保你已经安装了 Golang,然后在 laravuln 目录中运行以下命令。
```
# 从源代码 Build
go build -o laravuln .
# 可选:Add systemwide
sudo mv laravuln /usr/local/bin/
# 然后从任何 Laravel 项目运行
./laravuln
```
## 测试
包含的 composer.lock 中具有一个严重性级别为 'CRITICAL' 的 livewire 版本,用于测试该脚本。
构建完该软件包后,请运行
```
./laravuln
# Output
Found 2 packages
│-------------------│---------│---------------------│----------│
│ PACKAGE │ VERSION │ VULN ID │ SEVERITY │
│-------------------│---------│---------------------│----------│
│ livewire/livewire │ 3.6.3 │ GHSA-29cq-5w36-x7w3 │ CRITICAL │
│-------------------│---------│---------------------│----------│
│ laravel/framework │ 11.30.0 │ GHSA-546h-56qp-8jmw │ MEDIUM │
│-------------------│---------│---------------------│----------│
│ laravel/framework │ 11.30.0 │ GHSA-78fx-h6xr-vch4 │ MEDIUM │
│-------------------│---------│---------------------│----------│
│ laravel/framework │ 11.30.0 │ GHSA-83wp-f5c3-hqqr │ MEDIUM │
│-------------------│---------│---------------------│----------│
│ laravel/framework │ 11.30.0 │ GHSA-gv7v-rgg6-548h │ HIGH │
│-------------------│---------│---------------------│----------│
=== SCAN SUMMARY ===
Packages scanned: 2
Vulnerable packages: 2
Total vulnerabilities found: 5
CRITICAL: 1
MEDIUM: 3
HIGH: 1
VULNERABLE PACKAGE(S) DETECTED — check the table above!
For more information on the vulnerability goto https://osv.dev/vulnerability/{VULN ID}!
```
标签:Composer, composer.lock, DevSecOps, EVTX分析, Go语言, Laravel, OSV.dev, PHP生态, PoC识别, RCE检测, 上游代理, 代码安全, 依赖安全, 加密, 日志审计, 漏洞扫描器, 漏洞枚举, 程序破解