Введение в Cervantes
Cervantes – это платформа для совместной работы с открытым исходным кодом, разработанная для пентестеров и redteam, которые хотят сэкономить время и управлять своими проектами, клиентами, уязвимостями и отчетами в одном месте.
Этот мощный инструмент позволяет пользователям легко контролировать, отслеживать и сообщать о своих находках заинтересованным сторонам в безопасной среде.
С помощью Cervantes пентестеры и могут быстро получить представление о степени риска своих клиентов и предпринять проактивные шаги для обеспечения их безопасности. Некоторые из особенностей инструментов Cervantes включают;
- Открытый исходный код.
- Он многоплатформенный.
- Многоязычность.
- Позволяет работать в команде.
- Имеет встроенные приборные панели и аналитику.
- Помогает управлять клиентами и проектами безопасности.
- Отчеты о тестировании на проникновение можно создавать одним щелчком мыши.
В этом руководстве мы покажем вам, как установить и использовать систему управления уязвимостями Cervantes.
Установка
Существует несколько способов установки, запуска и использования Cervantes.
В этом руководстве мы будем запускать Cervantes в контейнере docker.
Первым шагом будет клонирование файлов приложения из официального репозитория GitHub на наш компьютер с помощью команды:
После завершения загрузки переходим в папку с файлами и выполняем приведенную ниже команду для сборки Cervantes и начала его использования.
Вход в систему Cervantes
После завершения установки вы можете посетить сайт http://localhost в вашем любимом браузере, чтобы получить доступ к дашборду.
Имя пользователя по умолчанию: “admin@cervantes.local” пароль: “Admin123“.
Дашборад
После входа в Cervantes мы перенаправляемся в дашборд.
В даше пользователь может просматривать различную информацию, связанную с клиентами, уязвимостями, задачами и даже проектами, как показано на рисунке ниже.
Календарь
Следующая вкладка – это страница календаря.
На странице календаря мы можем просматривать доступные проекты и их текущее состояние/
В календаре можно просмотреть задачи по их типам.
Cervantes предоставляет различные цветовые коды для этих различных состояний проектов в календаре.
Благодаря различным цветовым кодам пользователь может определить статус проекта, просто взглянув на календарь, и, следовательно, расставить приоритеты, как показано на рисунке ниже.
My Workspaces
Тут пользователь может просматривать назначенные ему/ей проекты.
В рабочем пространстве пользователь также может просматривать статус каждого проекта.
Он/она может узнать, является ли проект активным или завершенным.
Клиенты
На вкладке “Clients” можно просмотреть список всех зарегистрированных клиентов.
Мы также можем редактировать и добавлять новых клиентов до создания проекта на Cervantes.
Документы
Вкладка “documents ” содержит информацию обо всех загруженных документах, т.е. название документа, описание документа и пользователя, загрузившего документ.
Тестировщики на проникновение могут загружать документы, используемые для справки при проведении тестирования на проникновение.
Уязвимости
Это одна из самых важных вкладок в Cervantes.
Эффективность Cervantes во многом зависит от зарегистрированных уязвимостей.
На этой вкладке мы можем просмотреть зарегистрированные уязвимости, проект, в котором имеется уязвимость, уровень риска, категорию и даже пользователя, создавшего запись об уязвимости.
Логи приложения
Как и любой другой инструмент, Cervantes записывает изменения и действия, выполняемые пользователем в приложении.
Ведение журналов всех действий очень важно, так как в случае необходимости мы можем определить, кто и что сделал.
Резервное копирование
Поскольку создание регулярных резервных копий вашего приложения является рекомендуемой практикой, в Cervantes есть вкладка для пользователей, позволяющая создавать резервные копии как базы данных, так и других вложений.
На этой вкладке мы также можем восстановить резервные копии базы данных и вложений на новом инстансе.
Организация
На вкладке “organization ” мы можем изменить название организации, имя контакта, электронную почту, телефон, URL и GitHub, добавить описание компании и обновить логотип организации.
Пользователи
На вкладке “Users” мы можем просмотреть всех пользователей, зарегистрированных в Cervantes.
Мы можем просмотреть детали, относящиеся к конкретным пользователям, такие как электронная почта, полное имя и должность пользователя в организации.
Редактирование и добавление новых пользователей в приложение также возможно.
Для обеспечения максимальной безопасности в Cervantes предусмотрена двухфакторная аутентификация.
Хотя она не является обязательной, рекомендуется, чтобы она была включена у каждого пользователя системы.
Заключение
Cervantes предлагает пользователям широкий спектр функций, таких как автоматическое сканирование уязвимостей, идентификация активов, отслеживание проблем и создание отчетов.
Благодаря этому пользователи могут быстро выявлять и отслеживать угрозы, уязвимости и другие риски безопасности в своих средах.
Платформа также предоставляет пользователям мощные возможности отчетности, которые помогают быстро и точно создавать отчеты для заинтересованных сторон.
В следующем руководстве по Cervantes мы узнаем, как добавлять пользователей, добавлять проекты, проводить отчетность и, наконец, генерировать отчет для нашего проекта тестирования на проникновение.