...

четверг, 1 февраля 2018 г.

Nemesida Scanner — сканер уязвимостей веб-приложений

 
Nemesida Scanner предназначен для выявления уязвимостей в веб-приложениях, таких как SQL injection, XSS, LFI/RFI, XXE, Оpen-redirect, поиска компонентов с известными уязвимостями и критичных данных в открытом доступе, выявления недостатков конфигурации веб-приложения, сканирования портов, и т.д. Nemesida Scanner предоставляется в виде консольной версии для популярных Linux-дистрибутивов.

Зачем писать свой сканер, если их и так полным полно? Давайте разберемся. Большинство современных сканеров представляют из себя тяжеловесные GUI-приложения (либо веб-версию в виде веб-сервера, СУБД и т.д.) (помимо того, что они стоят довольно дорого). Консольные (легкие) варианты сканеров несомненно существуют, но у них есть как достоинства, так и недостатки. Примером отличного консольного сканера является узкоспециализированный wpscan. Консольная версия w3af довольно замороченная в плане настроек.

Поэтому мы решили реализовать простой, но многофункциональный сканер, не нагружающий систему и имеющий богатый (причем постоянно добавляемый) функционал.

Nemesida Scanner содержит большую базу современных векторов атак и полезных нагрузок (payload), не требователен к аппаратному обеспечению.


 
Nemesida Scanner является отличным помощником при выполнении работ по анализу защищенности веб-приложений и тестированию на проникновение, позволяя:


  • выявлять различные веб-уязвимости, такие как: SQL-инъекции, XSS, LFI/RFI, XXE, Оpen-redirect;
  • выявлять компоненты с известными уязвимостями;
  • обнаруживать критичные данные (файлов, каталоги, поддомены) в открытом доступе;
  • определять версии и типы установленных CMS, а также их плагины;
  • выявлять недостатки конфигурации веб-приложения;
  • подбирать пароли;
  • сканировать порты и определять сервисы.

Установка сканера довольно тривиальна. Далее представлен пример установки в ОС Debian (существует также и CentOS версия) Необходимо установить зависимости:

# apt-get update && apt-get install apt-transport-https 

Добавить репозиторий:

# echo "deb https://nemesida-security.com/ns/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaScanner.list

Установить ключ gpg.key:

# wget -O - https://nemesida-security.com/ns/gpg.key | apt-key add -

И выполнить установку:

# apt-get update && apt-get upgrade && apt-get install nscanner-cli

После установки укажите лицензионный ключ в файле /opt/nscanner-cli/nscanner-cli.conf (параметр: "license_key = ").

Пример команды запуска:

# nscanner-cli --host http://example.com.ru --auth admin:password --sql --pdf /tmp/report.pdf

Ознакомиться с функционалом и документацией.

Запрещается использование Nemesida Scanner в противоправных и противозаконных целях.

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий