Всем привет. Представляю вашему вниманию утилиты для сбора информации веб-приложений.
Введение.
1) YAWAST - утилита для сбора информации.
Разработчик:
Функционал.
1)Проверка SSL/TLS.
2) Поиск распространённых уязвимостей.
3)Отсутствующие заголовки безопасности.
4)Раскрытие информации — Проверка на популярные утечки информации.
5)Присутствие файлов или директорий — Проверки файлов или директорий, которые могут свидетельствовать о проблемах с безопасностью.
Установка и запуск.
2)RAWR - Утилита для сбора информации веб-ресурсов.
Источник:
Функционал.
1)Словарь для каждого хоста, состоящий из всех слов, найденных в ответах (включая сканирование, если оно использовалось).
2)Подбор стандартных паролей через проверку CPE службы на совпадения в базе данных DPE.
3)База данных со всей собранный с хоста информацией (запланирована функция сравнения).
4)Разбор метаданных в документах и фотографиях с использованием настраиваемых модулей.
5)Поддержка использования прокси (Burp, Zap, W3aF).
6)Может делать скриншоты RDP и VNC интерфейсов без пароля.
7)Будет выполнять множественные веб-вызовы на основе пользовательского списка user-agent (пользовательских агентов).
8)Захват/сохранение SSL сертификатов, кукиз и Cross-domain.xml.
9)[Опционально] Уведомит по почте или SMS когда сканирование завершиться.
10)[Опционально] Настраиваемый обходчик (сканер) для сбора ссылок внутри домена хоста.
11)[Опционально] Диаграмма в PNG всех найденных во время обхода страниц.
Установка и запуск.
3)SSLyze - Утилита для сканирования SSL/TLS.
Разработчик : nabla-c0d3/sslyze
Функционал.
1)Python API, чтобы запустить сканирование и обрабатывать результаты напрямую из.
2)Сканирования автоматически распределяются среди нескольких процессов, делая их очень быстрыми.
3)Тестирования производительности: поддержка возобновления сеанса и TLS tickets.
4)Тестирование безопасности: наборы слабых шифров, небезопасные перезаключения, CRIME, Heartbleed и другое.
5)Проверка сертификата сервера и проверка отзыва через OCSP stapling.
6)Поддержка StartTLS рукопожатий на SMTP, XMPP, LDAP, POP, IMAP, RDP, PostGres и FTP.
7)Поддержка клиентских сертификатов при проверке серверов, выполняющих взаимную аутентификацию.
8)Результаты сканирования могут быть записаны в файл XML или JSON для дальнейшей обработки.
И многое другое!
Установка и запуск.
Спасибо за внимание.
Введение.
1) YAWAST - утилита для сбора информации.
Разработчик:
Ссылка скрыта от гостей
Функционал.
1)Проверка SSL/TLS.
2) Поиск распространённых уязвимостей.
3)Отсутствующие заголовки безопасности.
4)Раскрытие информации — Проверка на популярные утечки информации.
5)Присутствие файлов или директорий — Проверки файлов или директорий, которые могут свидетельствовать о проблемах с безопасностью.
Установка и запуск.
Код:
gem install yawast
Справка - yawast -h
Пример запуска - yawast scan codeby.net2)RAWR - Утилита для сбора информации веб-ресурсов.
Источник:
Ссылка скрыта от гостей
.Функционал.
1)Словарь для каждого хоста, состоящий из всех слов, найденных в ответах (включая сканирование, если оно использовалось).
2)Подбор стандартных паролей через проверку CPE службы на совпадения в базе данных DPE.
3)База данных со всей собранный с хоста информацией (запланирована функция сравнения).
4)Разбор метаданных в документах и фотографиях с использованием настраиваемых модулей.
5)Поддержка использования прокси (Burp, Zap, W3aF).
6)Может делать скриншоты RDP и VNC интерфейсов без пароля.
7)Будет выполнять множественные веб-вызовы на основе пользовательского списка user-agent (пользовательских агентов).
8)Захват/сохранение SSL сертификатов, кукиз и Cross-domain.xml.
9)[Опционально] Уведомит по почте или SMS когда сканирование завершиться.
10)[Опционально] Настраиваемый обходчик (сканер) для сбора ссылок внутри домена хоста.
11)[Опционально] Диаграмма в PNG всех найденных во время обхода страниц.
Установка и запуск.
Код:
git clone https://bitbucket.org/al14s/rawr.git
cd rawr
./install.sh
Пример запуска - ./rawr.py codeby.net3)SSLyze - Утилита для сканирования SSL/TLS.
Разработчик : nabla-c0d3/sslyze
Функционал.
1)Python API, чтобы запустить сканирование и обрабатывать результаты напрямую из.
2)Сканирования автоматически распределяются среди нескольких процессов, делая их очень быстрыми.
3)Тестирования производительности: поддержка возобновления сеанса и TLS tickets.
4)Тестирование безопасности: наборы слабых шифров, небезопасные перезаключения, CRIME, Heartbleed и другое.
5)Проверка сертификата сервера и проверка отзыва через OCSP stapling.
6)Поддержка StartTLS рукопожатий на SMTP, XMPP, LDAP, POP, IMAP, RDP, PostGres и FTP.
7)Поддержка клиентских сертификатов при проверке серверов, выполняющих взаимную аутентификацию.
8)Результаты сканирования могут быть записаны в файл XML или JSON для дальнейшей обработки.
И многое другое!
Установка и запуск.
Код:
pip install sslyze
Справка - sslyze -h
Пример запуска - sslyze --regular codeby.netСпасибо за внимание.
Последнее редактирование модератором:
