Vulnreport:開源滲透測試自動化管理平台
Vulnreport是一個管理滲透測試和自動生成報告的平台,為安全工程師節約大量的時間。它被設計來管理滲透測試,代碼審計,並且生成漏洞報告。使用Vulnreport可以讓安全研究者省去編寫報告的時間,更專註於滲透測試的核心工作——尋找漏洞。
Vulnreport會跟蹤你測試中的漏洞,提供一個簡單的管理界面,然後分析你發現的漏洞,和你的時間消耗點。Vulnreport同時也可也作為其他漏洞評估工具的插件使用。講它插入到你的自動化滲透測試框架中,然後觀察漏洞數據流。
Vulnreport是Salesforce產品安全團隊為了節省寫報告的時間開發的。他們的目的是開發一款偉大的安全工具,讓滲透測試者和安全工程師專註於發現和修復漏洞。
它在2016年的黑帽大會上開源,並且定期更新,所有安全社區的成員都可以修改,提交代碼。Vulnreport使用了Ruby/Rack 應用,這使用了Sinatra DSL框架。如果你在你的虛擬機或者伺服器上安裝Vulnreport,你需要安裝下面這些依賴:
Ruby (>= 2.1)nPostgreSQLnRedis (可選)nRollbarnBundlernWKHTMLTOPDF (可選)n
從倉庫中克隆代碼然後打開.env文件,並更新。運行bundleinstall。你可能需要修改start.sh,因為你的環境可能不一樣——倉庫里有一個是開發調試版本。你需要基於.env.example建立一個.env文件,或者設置ENV環境變數。
在使用Vulnreport之前,你需要運行一次腳本來配置資料庫,並初始化。這個腳本可以在根目錄下找到,文件名為SEED.rb。運行方式./SEED.rb。如果你在Heroku,你需要這樣運行heroku run ./SEED.rb -a [Vulnreport App]。如果你使用Heroku特徵自動部署,這個步驟會自動完成。
當你運行腳本時,會有如下輸出:
部署Vulnreport和seed腳本運行之後,你還需要在在線app中進行配置。首先,你要刪掉這個seed腳本。然後用管理員帳戶登錄到Vulnreport——用戶名admin 密碼admin。默認賬號密碼需要馬上修改,或者配置單點登錄。
登錄之後你首先需要設置的是Settings> VR Settings(/admin/settings)。這裡你需要設置用戶名和認證信息。然後,你可以重新配置用戶設置和其他用戶,組織,記錄類型,漏洞類型等等。詳細管理和配置方法請閱讀文檔。
本文原載時間2016年8月19日
推薦閱讀:
※壞蛋調頻王師傅推薦了6款聲音相關工具(包括一款山寨的)| 利器專欄
※【瑾瑜·PS】人物雙重曝光
※這把尺子不僅顏值超高,還能測量不規則的物體