Nemesida Scanner — сканер уязвимостей веб-приложений
Nemesida Scanner предназначен для выявления уязвимостей в веб-приложениях, таких как SQL injection, XSS, LFI/RFI, XXE, Оpen-redirect, поиска компонентов с известными уязвимостями и критичных данных в открытом доступе, выявления недостатков конфигурации веб-приложения, сканирования портов, и т.д. Nemesida Scanner предоставляется в виде консольной версии для популярных Linux-дистрибутивов.
Зачем писать свой сканер, если их и так полным полно? Давайте разберемся. Большинство современных сканеров представляют из себя тяжеловесные GUI-приложения (либо веб-версию в виде веб-сервера, СУБД и т.д.) (помимо того, что они стоят довольно дорого). Консольные (легкие) варианты сканеров несомненно существуют, но у них есть как достоинства, так и недостатки. Примером отличного консольного сканера является узкоспециализированный wpscan. Консольная версия w3af довольно замороченная в плане настроек.
Поэтому мы решили реализовать простой, но многофункциональный сканер, не нагружающий систему и имеющий богатый (причем постоянно добавляемый) функционал.
Nemesida Scanner содержит большую базу современных векторов атак и полезных нагрузок (payload), не требователен к аппаратному обеспечению.
Nemesida Scanner является отличным помощником при выполнении работ по анализу защищенности веб-приложений и тестированию на проникновение, позволяя:
- выявлять различные веб-уязвимости, такие как: SQL-инъекции, XSS, LFI/RFI, XXE, Оpen-redirect;
- выявлять компоненты с известными уязвимостями;
- обнаруживать критичные данные (файлов, каталоги, поддомены) в открытом доступе;
- определять версии и типы установленных CMS, а также их плагины;
- выявлять недостатки конфигурации веб-приложения;
- подбирать пароли;
- сканировать порты и определять сервисы.
Установка сканера довольно тривиальна. Далее представлен пример установки в ОС Debian (существует также и CentOS версия) Необходимо установить зависимости:
# apt-get update && apt-get install apt-transport-https
Добавить репозиторий:
# echo "deb https://nemesida-security.com/ns/debian stretch non-free" > /etc/apt/sources.list.d/NemesidaScanner.list
Установить ключ gpg.key:
# wget -O - https://nemesida-security.com/ns/gpg.key | apt-key add -
И выполнить установку:
# apt-get update && apt-get upgrade && apt-get install nscanner-cli
После установки укажите лицензионный ключ в файле /opt/nscanner-cli/nscanner-cli.conf (параметр: «license_key = »).
Пример команды запуска:
# nscanner-cli --host http://example.com.ru --auth admin:password --sql --pdf /tmp/report.pdf
Ознакомиться с функционалом и документацией.
Запрещается использование Nemesida Scanner в противоправных и противозаконных целях.