Nemesida Scanner — сканер уязвимостей веб-приложений01.02.2018 13:48

hkwfdh1pqxfin0m0zk1pwjnokri.png

 
Nemesida Scanner предназначен для выявления уязвимостей в веб-приложениях, таких как SQL injection, XSS, LFI/RFI, XXE, Оpen-redirect, поиска компонентов с известными уязвимостями и критичных данных в открытом доступе, выявления недостатков конфигурации веб-приложения, сканирования портов, и т.д. Nemesida Scanner предоставляется в виде консольной версии для популярных Linux-дистрибутивов.


Зачем писать свой сканер, если их и так полным полно? Давайте разберемся. Большинство современных сканеров представляют из себя тяжеловесные GUI-приложения (либо веб-версию в виде веб-сервера, СУБД и т.д.) (помимо того, что они стоят довольно дорого). Консольные (легкие) варианты сканеров несомненно существуют, но у них есть как достоинства, так и недостатки. Примером отличного консольного сканера является узкоспециализированный wpscan. Консольная версия w3af довольно замороченная в плане настроек.


Поэтому мы решили реализовать простой, но многофункциональный сканер, не нагружающий систему и имеющий богатый (причем постоянно добавляемый) функционал.


Nemesida Scanner содержит большую базу современных векторов атак и полезных нагрузок (payload), не требователен к аппаратному обеспечению.


rtgrjafztir-y8pqo-3clhgzdzm.png

 
Nemesida Scanner является отличным помощником при выполнении работ по анализу защищенности веб-приложений и тестированию на проникновение, позволяя:


  • выявлять различные веб-уязвимости, такие как: SQL-инъекции, XSS, LFI/RFI, XXE, Оpen-redirect;
  • выявлять компоненты с известными уязвимостями;
  • обнаруживать критичные данные (файлов, каталоги, поддомены) в открытом доступе;
  • определять версии и типы установленных CMS, а также их плагины;
  • выявлять недостатки конфигурации веб-приложения;
  • подбирать пароли;
  • сканировать порты и определять сервисы.


Установка сканера довольно тривиальна. Далее представлен пример установки в ОС Debian (существует также и CentOS версия) Необходимо установить зависимости: 


# apt-get update && apt-get install apt-transport-https


Добавить репозиторий: 


# echo "deb https://nemesida-security.com/ns/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaScanner.list


Установить ключ gpg.key: 


# wget -O - https://nemesida-security.com/ns/gpg.key | apt-key add -


И выполнить установку: 


# apt-get update && apt-get upgrade && apt-get install nscanner-cli


После установки укажите лицензионный ключ в файле /opt/nscanner-cli/nscanner-cli.conf (параметр: «license_key = »).


Пример команды запуска: 


# nscanner-cli --host http://example.com.ru --auth admin:password --sql --pdf /tmp/report.pdf


Ознакомиться с функционалом и документацией.


Запрещается использование Nemesida Scanner в противоправных и противозаконных целях.

© Habrahabr.ru