• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Софт YAWAST , RAWR , SSLyze - Сбор информации веб-приложений.

Литиум

Well-known member
13.12.2017
226
293
#1
Всем привет. Представляю вашему вниманию утилиты для сбора информации веб-приложений.

Введение.

web-app-testing.jpg



1) YAWAST - утилита для сбора информации.
Разработчик:
Для просмотра контента необходимо: Войти или зарегистрироваться

Функционал.

1)Проверка SSL/TLS.
2) Поиск распространённых уязвимостей.
3)Отсутствующие заголовки безопасности.
4)Раскрытие информации — Проверка на популярные утечки информации.
5)Присутствие файлов или директорий — Проверки файлов или директорий, которые могут свидетельствовать о проблемах с безопасностью.

Установка и запуск.
Код:
gem install yawast
Справка -  yawast -h
Пример запуска - yawast scan codeby.net
Screenshot from 2018-07-12 00-23-46.png

Screenshot from 2018-07-12 00-24-44.png



2)RAWR - Утилита для сбора информации веб-ресурсов.

Источник:
Для просмотра контента необходимо: Войти или зарегистрироваться
.
Функционал.

1)Словарь для каждого хоста, состоящий из всех слов, найденных в ответах (включая сканирование, если оно использовалось).
2)Подбор стандартных паролей через проверку CPE службы на совпадения в базе данных DPE.
3)База данных со всей собранный с хоста информацией (запланирована функция сравнения).
4)Разбор метаданных в документах и фотографиях с использованием настраиваемых модулей.
5)Поддержка использования прокси (Burp, Zap, W3aF).
6)Может делать скриншоты RDP и VNC интерфейсов без пароля.
7)Будет выполнять множественные веб-вызовы на основе пользовательского списка user-agent (пользовательских агентов).
8)Захват/сохранение SSL сертификатов, кукиз и Cross-domain.xml.
9)[Опционально] Уведомит по почте или SMS когда сканирование завершиться.
10)[Опционально] Настраиваемый обходчик (сканер) для сбора ссылок внутри домена хоста.
11)[Опционально] Диаграмма в PNG всех найденных во время обхода страниц.

Установка и запуск.

Код:
git clone https://bitbucket.org/al14s/rawr.git

cd rawr

./install.sh

Пример запуска - ./rawr.py codeby.net
Screenshot from 2018-07-12 00-14-39.png

Screenshot from 2018-07-12 00-59-56.png

Screenshot from 2018-07-12 01-00-46.png


Screenshot from 2018-07-12 01-00-39.png


3)SSLyze - Утилита для сканирования SSL/TLS.
Разработчик : nabla-c0d3/sslyze


Функционал.
1)Python API, чтобы запустить сканирование и обрабатывать результаты напрямую из.
2)Сканирования автоматически распределяются среди нескольких процессов, делая их очень быстрыми.
3)Тестирования производительности: поддержка возобновления сеанса и TLS tickets.
4)Тестирование безопасности: наборы слабых шифров, небезопасные перезаключения, CRIME, Heartbleed и другое.
5)Проверка сертификата сервера и проверка отзыва через OCSP stapling.
6)Поддержка StartTLS рукопожатий на SMTP, XMPP, LDAP, POP, IMAP, RDP, PostGres и FTP.
7)Поддержка клиентских сертификатов при проверке серверов, выполняющих взаимную аутентификацию.
8)Результаты сканирования могут быть записаны в файл XML или JSON для дальнейшей обработки.
И многое другое!

Установка и запуск.
Код:
pip install sslyze

Справка - sslyze -h

Пример запуска - sslyze --regular codeby.net
Screenshot from 2018-07-12 01-09-52.png

Screenshot from 2018-07-12 01-09-57.png

Screenshot from 2018-07-12 01-10-00.png

Спасибо за внимание.
 
Последнее редактирование:

WebWare Team

Администратор
30.12.2015
2 090
2 757
#2
1)Python API, чтобы запустить сканирование и обрабатывать результаты напрямую из.
Перед публикацией перечитывайте пожалуйста текст полностью. Если конечной целью публикаций является попадание в Grey Team, то перечитывайте трижды. У нас есть рекомендации для авторов, с ними тоже не помешает ознакомиться. Простой перевод текста не выделяет Вас на фоне участников. Без емких статей с описанием личного опыты, в Grey Team не попасть. Редактор позволяет создавать списки. Кнопка в панели управления:

3219849435186743.png
 
Вверх Снизу