ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 Ломаем вместе89тор. А вот на *nix придется дополнительно поставить Ruby (таккак Dredis на нем написан):sudo apt-get install ruby irb rdoc ruby1.9-devlibopenssl-ruby rubygems# библиотеки SQLite3:sudo apt-get install libsqlite3-0 libsqlite3-dev# и Ruby Bundler gem:sudo gem install bundlerСледующим шагом после установки идет настройка.Для этого необходимо выполнить скрипт reset.sh или reset.batпод виндой. Это подготовит конфигурационные файлы и базуданных, которая будет выступать в качестве репозитория.После чего с помощью скрипта start.sh/start.bat можнозапустить непосредственно сам Dradis. По умолчаниювеб-интерфейс приложения будет висеть на порту 3004:https://127.0.0.1:3004/. А чтобы забиндить, к примеру, 443-йпорт и заставить Dradis слушать все сетевые интерфейсы,надо запустить скрипт start.sh/start.bat со следующими параметрами:# ./start.sh -b 0.0.0.0 -p 443Теперь, когда Dradis установлен и запущен, пришло времяпознакомиться с его возможностями поближе.Так как в процессе проведения пентестаприменяется множество различных специфичныхприложений, то результат их работыхотелось бы прикреплять к проектуПРОГРАММЫ ДЛЯ ПРОВЕДЕНИЯКОЛЛЕКТИВНОГО ПЕНТЕСТАЕстественно, Dradis не единственный инструмент,призванный помочь при командной работе.Существует ряд альтернатив.HP AMP bit.ly/ZEgjjTРаспределенное масштабируемое веб-приложение,позволяющее выполнять тестирование безопасностивеб-приложений в автоматическом режиме, объединяетвсе результаты сканирования объекта, позволяя оценитьобщий уровень его защищенности.HP Fortify bit.ly/Y5wJDJЕще одно детище компании HP, позволяющее командамразработчиков и пентестеров быстро идентифицироватьи фиксить уязвимости, а благодаря удобному вебинтерфейсуи репозиторию быстро делиться информациейсо всеми членами команды.Veracode veracode.comЦелая облачная платформа, позволяющая проводитьтестирование объектов и рассчитывать общий уровень ихбезопасности.ТЕСТ-ДРАЙВЗалогинившись в Dradis, мы видим достаточно простойи дружелюбный веб-интерфейс. Прежде чем начать какуюлибодеятельность, надо создать своего рода новый проект.Для этого нажимаем на «Add brunch» и даем название созданномубранчу. Проекты имеют древовидную структуру — щелкнувна нем правой кнопкой мыши и нажав «Add child», можнодобавить поддиректорию или отдельный хост. К любомусозданному элементу можно добавить описание при помощикнопки «add note». Так как в процессе проведения пентестаприменяется множество различных специфичных приложений,то результат их работы (например, сканированиепортов конкретного хоста) тоже хотелось бы как-то прикреплятьк проекту. И такая возможность в Dradis есть. Он поддерживаетимпорт результатов работы следующих инструментов:Burp Scanner, Mediawiki,Nessus (v1, v2), Nexpose, Nikto,Nmap, OpenVAS, OSVDB, Retina,SureCheck, VulnDB HQ, w3af, wXf,Zed Attack Proxy. Таким образом,просканировав какой-либо хостс помощью Nmap, Nikto или какоголибодругого инструмента, результатего работы можно будет прикрепитьк Dradis. Для этого следуетвыбрать «Import from file... → newimport», затем выбрать тип инструмента из приведенногосписка и его выходной файл, после чего все данные будутимпортированы. Поддержка работы со столькими инструментамидостигается за счет использования плагинов. Еслив приведенном стандартном списке нет какой-либо тулзы,которой ты часто пользуешься во время своих тестов, огорчатьсяне стоит. Плагин для импорта результатов ее работыможно написать самому. Для этого лишь нужно немножкознать Ruby, всю остальную информацию можно почерпнутьиз туториала — bit.ly/pmx6va. После окончания тестированиярезультат работы можно экспортировать в различные форматыWord, PDF или опять же написать плагин для экспортав какой-то специфичный формат. Как видишь, работа с данныминструментом предельно проста и не требует каких-тоособых навыков. Гибкость в использовании и возможностьструктурированно хранить результаты работы всех участниковкоманды позволяет получить более детальную картинуо безопасности исследуемого объекта. Что делает Dradis однимиз незаменимейших инструментов при проведении масштабныхтестов на проникновение.ЗАКЛЮЧЕНИЕВот мы и познакомились с двумя популярными инструментами,используемыми для организации совместной работы.Реальность такова, что герои-одиночки остались тольков голливудских боевиках, а для того, чтобы сделать что-тосерьезное и стоящее, приходится работать командой. Такчто теперь при необходимости поработать в коллективеты знаешь, какими тулзами можно пользоваться. А в том,что необходимость совместной работы появится, можнодаже не сомневаться.Загруженный результатработы сканера NmapПОШАГОВЫЕИНСТРУКЦИИПО УСТАНОВКЕDRADISDradis на OS Х —bit.ly/vH4AbA,Ubuntu —bit.ly/n3uPeF,FreeBSD —bit.ly/ZE0k5w.Для тех, кто планируетиспользоватьDradis в винде из-подCygwin консолиMetasploit’а, — вотхороший туториал,как это сделать: bit.ly/YeiyLJ. Если же хочетсяпопробовать тулзув действии, а ковырятьсяс установкой/настройкой желаниянет, то можно заюзатьBacktrack, в которомDradis уже предустановлен.DVDКак всегда, весьупомянутый в статьесофт ты можешь найтина нашем диске.