ᐉ Vega - сканер веб-сайтів на безпеку, виявлення проблем безпеки сайту

  1. установка Vega
  2. Використання інструменту Vega
  3. Висновки про інструмент для сканування безпеки Vega

Vega - це інструмент з відкритим вихідним кодом на основі GUID, який використовується для тестування безпеки веб-додатків. Інструмент може використовуватися для перевірки розкриття конфіденційної інформації, такої як SQL-ін'єкція, сліпа SQL-ін'єкція, відбитий перехресний сценарій сайту, збережені міжсайтовий скрипти, ін'єкції оболонок і уразливості включення файлів. Повний список модулів сканування можна переглянути з призначеного для користувача інтерфейсу.

установка Vega

установка Vega

Vega - це інструмент Java, сумісний з Linux , Windows і O SX. Щоб встановити цей інструмент в Linux, спочатку запустіть команду поновлення, щоб переконатися, що все залежить встановлені і оновлені.

apt-get update

Після запуску команди «update» запустіть наступну команду настройки Vega. Вона встановить інструмент vega в систему.

apt-get install vega

Якщо це не спрацює, спробуйте установку з опцією 'sudo'.

sudo apt-get install vega

Використання інструменту Vega

Vega GUI можна відкрити, набравши «vega» в терміналі .

vega

Цільовий сайт можна додати для сканування через кнопку «почати нове сканування» або натиснути кнопку CTR + N. Це відкриває вікно для введення базового url для сканування з можливістю вибору області сканування, відомої як Target Scope. Цільова область дозволяє вибирати базові шляхи і виключати URL-адреси або шаблони за нашим вибором.

Після додавання мети пропустіть цей крок, щоб вибрати модулі, які будуть використовуватися для сканування. В інструменті доступні два типи модулів, а саме модулі уприскування і модулі обробки відповідей. Категорія модулів ін'єкцій містить ряд модулів тестування ін'єкцій, включаючи SQL, BSQL, LFI, HTTP, XML, XSS, Blind OS і Eval code injection.

Аналогічно, категорія обробки відповіді також містить хороший список модулів для вибору. Деякі з них включають в себе: модулі виявлення списків каталогів, небезпечні модулі перевірки скриптів, перевірки заголовків HTTP і модулі безпеки файлів cookie. Після налаштування параметрів сканування інструмент запускає сканування цільового веб-сайту на основі заданих параметрів. Будь-яка знайдена уразливість відображається інструментом, як показано на наступному скріншоті.

Висновки про інструмент для сканування безпеки Vega

Vega має широкий діапазон модулів для тестування вразливостей веб-додатків. Деякі шляхи, файли можуть бути виключені з сканування, щоб зробити процес більш цілеспрямованим або конкретним. Інструмент також надає шлях до уразливих URL для подальшого аналізу. Одним з основних недоліків є те, що помилково-позитивна ставка досить жахлива, над цим потрібно працювати, щоб поліпшити інструмент і зробити його більш життєздатним варіантом для тестів на уразливості.

Підписуйтесь на оновлення сайту, а також наш Telegram .