Archery – это инструмент оценки и управления уязвимостями с открытым исходным кодом, который помогает разработчикам и пентестерам выполнять сканирование и управлять уязвимостями.
Archery использует популярные инструменты с открытым исходным кодом для комплексного сканирования веб-приложений и сетей.
Он также выполняет динамическое аутентифицированное сканирование веб-приложений и покрывает целые приложения с использованием selenium.
Разработчики также могут использовать инструмент для реализации своей среды DevOps CI / CD.
Содержание
Обзор инструмента:
- Выполняет сканирование уязвимостей в Интернете и сети с помощью инструментов с открытым исходным кодом.
- Коррелирует и объединяет все необработанные данные сканирования, показывает их в консолидированной форме.
- Выполняет проверку подлинности веб-сканирования.
- Выполняет сканирование веб-приложения, используя selenium.
- Управление уязвимостями.
- Включен API REST для разработчиков для выполнения сканирования и управления уязвимостями.
- Система тикетов JIRA.
- Обнаружение и сканирование поддоменов.
- Периодические сканы.
- Параллельное сканирование.
- Полезно для команд DevOps для управления уязвимостями.
Требования
- Python 3.6+ – Python 3.6 Download
- OpenVAS 8, 9
- OWASP ZAP 2.7.0
- Selenium Python Firefox Web driver
- SSLScan
- Nikto
- NMAP Vulners
OpenVAS
Обратите внимание, что в данный момент Archery создает TCP-соединение с OpenVAS Manager (не GSA): поэтому вам необходимо обновить конфигурацию OpenVAS Manager, чтобы связать этот порт.
Порт по умолчанию (9390 / tcp), но вы можете обновить его в своих настройках.
OWASP Zap
Также известный как Zaproxy. Просто скачайте и установите соответствующий пакет для вашего дистрибутива с официальной страницы Github.
Сервисный файл Systemd доступен в проекте.
Burp Scanner
Следуйте инструкциям, чтобы включить Burp REST API.
Вы можете управлять сканированием и запускать его, используя Archery, как только REST API включен.
SSLScan
Просто установите SSLScan из вашего менеджера пакетов.
Nikto
Просто установите Nikto из вашего менеджера пакетов.
NMAP Vulners
Просто загрузите файл NSE в соответствующий каталог: