Существует множество угроз безопасности веб-сайта, даже самый опытный специалист по ИТ-специалистам должен всегда быть бдительным, чтобы защититься от плохих парней, которые пытаются атаковать ваш сайт. Здесь важно не то, что делать после атаки (как правило), а обнаруживать их раньше, чем кто-либо другой. Для этого вы можете использовать различные инструменты, которые помогут вам выявить возможные недостатки в вашей системе.
В этой статье вы узнаете, как сканировать уязвимости на веб-сайте, используя GoLismero в Kali Linux. Запуск GoLismero может быть очень полезен для выявления возможных сбоев в безопасности вашего сервера.
Что такое GoLismero?
GoLismero, «Веб-нож» — это свободная программная среда для тестирования безопасности, в настоящее время ориентированная на веб-безопасность, но ее можно легко расширить для других видов сканирования. Он может запускать собственные тесты безопасности и управлять многими хорошо известными инструментами безопасности (OpenVas, Wfuzz, SQLMap, DNSconcon, робот-анализатор …), получать результаты, обратную связь с остальными инструментами и полностью объединять результаты. Наиболее интересные особенности фреймворка:
- Реальная независимость от платформы. Протестировано на Windows, Linux, * BSD и OS X.
- Нет родных библиотечных зависимостей. Все рамки были написаны на чистом Python.
- Хорошая производительность по сравнению с другими фреймворками, написанными на Python и других скриптовых языках.
- Разработка плагинов предельно проста.
- Фреймворк также собирает и объединяет результаты хорошо известных инструментов: sqlmap, xsser, openvas, dnsrecon, theharvester …
- Интеграция со стандартами: CWE, CVE и OWASP.
GoLismero был написан на чистом Python, и его довольно легко использовать, с очень небольшим количеством команд или даже с одной командой, вы можете запускать сканирование и сообщать об уязвимостях. Визит домашняя страница проекта и его Github Repository для дополнительной информации.
Поиск уязвимостей
Чтобы использовать GoLismero в Kali Linux, просто откройте новый терминал и выполните любую из следующих команд в зависимости от того, что вы хотите сделать:
Заметка
GoLismero не может быть остановлено, как вы обычно делаете с инструментами в терминале (ctrl + c), вместо этого вам нужно использовать ctrl + z.
Shell отчет
Чтобы сканировать веб-сайт и показать все возможные недостатки безопасности, просто выполните следующую команду:
golismero scan
Аргумент website-target — это домен сайта, который вы хотите проанализировать, например:
golismero scan sdkcarlos.github.io
Из результатов этой команды вы должны получить соответствующую информацию о состоянии безопасности вашего сайта от различных недостатков или ошибок, таких как Heartbleed:
Веб отчет
С помощью GoLismero вы можете создавать отчеты в разных форматах, вам просто нужно добавить аргумент -o, который будет создавать отчет (формат которого определяется по расширению файла):
golismero scan -o - -o securityreport.html
Например, создать отчет в папке отчетов системы с именем securityreport.html
веб-сайта sdkcarlos.github.io
мы могли бы просто запустить следующую команду:
golismero scan sdkcarlos.github.io -o - -o /root/reports/securityreport.html
Как вы наверняка заметили, макет остается согласованным на всех платформах, так как дизайн отчета полностью адаптивен. HTML-отчет полностью самодостаточен в одном .html
файл, что делает его очень простым для обмена и должно выглядеть так:
Счастливый обзор безопасности!