Vulnreport：開源滲透測試自動化管理平台

Vulnreport是一個管理滲透測試和自動生成報告的平台，為安全工程師節約大量的時間。它被設計來管理滲透測試，代碼審計，並且生成漏洞報告。使用Vulnreport可以讓安全研究者省去編寫報告的時間，更專註於滲透測試的核心工作——尋找漏洞。

Vulnreport會跟蹤你測試中的漏洞，提供一個簡單的管理界面，然後分析你發現的漏洞，和你的時間消耗點。Vulnreport同時也可也作為其他漏洞評估工具的插件使用。講它插入到你的自動化滲透測試框架中，然後觀察漏洞數據流。

Vulnreport是Salesforce產品安全團隊為了節省寫報告的時間開發的。他們的目的是開發一款偉大的安全工具，讓滲透測試者和安全工程師專註於發現和修復漏洞。

它在2016年的黑帽大會上開源，並且定期更新，所有安全社區的成員都可以修改，提交代碼。Vulnreport使用了Ruby/Rack 應用，這使用了Sinatra DSL框架。如果你在你的虛擬機或者伺服器上安裝Vulnreport，你需要安裝下面這些依賴：

Ruby (>= 2.1)nPostgreSQLnRedis (可選)nRollbarnBundlernWKHTMLTOPDF (可選)n

從倉庫中克隆代碼然後打開.env文件，並更新。運行bundleinstall。你可能需要修改start.sh，因為你的環境可能不一樣——倉庫里有一個是開發調試版本。你需要基於.env.example建立一個.env文件，或者設置ENV環境變數。

在使用Vulnreport之前，你需要運行一次腳本來配置資料庫，並初始化。這個腳本可以在根目錄下找到，文件名為SEED.rb。運行方式./SEED.rb。如果你在Heroku，你需要這樣運行heroku run ./SEED.rb -a [Vulnreport App]。如果你使用Heroku特徵自動部署，這個步驟會自動完成。

當你運行腳本時，會有如下輸出：

部署Vulnreport和seed腳本運行之後，你還需要在在線app中進行配置。首先，你要刪掉這個seed腳本。然後用管理員帳戶登錄到Vulnreport——用戶名admin 密碼admin。默認賬號密碼需要馬上修改，或者配置單點登錄。

登錄之後你首先需要設置的是Settings> VR Settings(/admin/settings)。這裡你需要設置用戶名和認證信息。然後，你可以重新配置用戶設置和其他用戶，組織，記錄類型，漏洞類型等等。詳細管理和配置方法請閱讀文檔。

本文原載時間2016年8月19日

推薦閱讀：