ᐉ Vega - сканер веб-сайтів на безпеку, виявлення проблем безпеки сайту
Vega - це інструмент з відкритим вихідним кодом на основі GUID, який використовується для тестування безпеки веб-додатків. Інструмент може використовуватися для перевірки розкриття конфіденційної інформації, такої як SQL-ін'єкція, сліпа SQL-ін'єкція, відбитий перехресний сценарій сайту, збережені міжсайтовий скрипти, ін'єкції оболонок і уразливості включення файлів. Повний список модулів сканування можна переглянути з призначеного для користувача інтерфейсу.
установка Vega
Vega - це інструмент Java, сумісний з Linux , Windows і O SX. Щоб встановити цей інструмент в Linux, спочатку запустіть команду поновлення, щоб переконатися, що все залежить встановлені і оновлені.
apt-get update
Після запуску команди «update» запустіть наступну команду настройки Vega. Вона встановить інструмент vega в систему.
apt-get install vega
Якщо це не спрацює, спробуйте установку з опцією 'sudo'.
sudo apt-get install vega
Використання інструменту Vega
Vega GUI можна відкрити, набравши «vega» в терміналі .
vega
Цільовий сайт можна додати для сканування через кнопку «почати нове сканування» або натиснути кнопку CTR + N. Це відкриває вікно для введення базового url для сканування з можливістю вибору області сканування, відомої як Target Scope. Цільова область дозволяє вибирати базові шляхи і виключати URL-адреси або шаблони за нашим вибором.
Після додавання мети пропустіть цей крок, щоб вибрати модулі, які будуть використовуватися для сканування. В інструменті доступні два типи модулів, а саме модулі уприскування і модулі обробки відповідей. Категорія модулів ін'єкцій містить ряд модулів тестування ін'єкцій, включаючи SQL, BSQL, LFI, HTTP, XML, XSS, Blind OS і Eval code injection.
Аналогічно, категорія обробки відповіді також містить хороший список модулів для вибору. Деякі з них включають в себе: модулі виявлення списків каталогів, небезпечні модулі перевірки скриптів, перевірки заголовків HTTP і модулі безпеки файлів cookie. Після налаштування параметрів сканування інструмент запускає сканування цільового веб-сайту на основі заданих параметрів. Будь-яка знайдена уразливість відображається інструментом, як показано на наступному скріншоті.
Висновки про інструмент для сканування безпеки Vega
Vega має широкий діапазон модулів для тестування вразливостей веб-додатків. Деякі шляхи, файли можуть бути виключені з сканування, щоб зробити процес більш цілеспрямованим або конкретним. Інструмент також надає шлях до уразливих URL для подальшого аналізу. Одним з основних недоліків є те, що помилково-позитивна ставка досить жахлива, над цим потрібно працювати, щоб поліпшити інструмент і зробити його більш життєздатним варіантом для тестів на уразливості.
Підписуйтесь на оновлення сайту, а також наш Telegram .