Vega – сканер веб-сайтов на безопасность с открытым исходным кодом

Vega – это инструмент с открытым исходным кодом на основе GUID, используемый для тестирования безопасности веб-приложений. Инструмент может использоваться для проверки раскрытия конфиденциальной информации, такой как SQL-инъекция, слепая SQL-инъекция, отраженный перекрестный сценарий сайта, хранимые межсайтовые скрипты, инъекции оболочек и уязвимости включения файлов. Полный список модулей сканирования можно просмотреть из пользовательского интерфейса.

Установка Vega

Установка инструмента сканирования безопасности Vega

Vega – это инструмент Java, совместимый с Linux, Windows и O SX. Чтобы установить этот инструмент в Linux, сначала запустите команду обновления, чтобы убедиться, что все зависимости установлены и обновлены.

apt-get update

После запуска команды «update» запустите следующую команду настройки Vega. Она установит инструмент vega в систему.

apt-get install vega

Если это не сработает, попробуйте установку с опцией ‘sudo’.

sudo apt-get install vega

Использование инструмента Vega

Vega GUI можно открыть, набрав «vega» в терминале.

vega

Целевой сайт можно добавить для сканирования через кнопку «начать новое сканирование» или нажать кнопку CTR + N. Это открывает окно для ввода базового url для сканирования с возможностью выбора области сканирования, известной как Target Scope. Целевая область позволяет выбирать базовые пути и исключать URL-адреса или шаблоны по нашему выбору.

Задание цели и сканирование

После добавления цели перейдите к следующему шагу, чтобы выбрать модули, которые будут использоваться для сканирования. В инструменте доступны два типа модулей, а именно модули впрыска и модули обработки ответов. Категория модулей инъекций содержит ряд модулей тестирования инъекций, включая SQL, BSQL, LFI, HTTP, XML, XSS, Blind OS и Eval code injection.

Внедрение модулей в Vega

Аналогично, категория обработки ответа также содержит хороший список модулей для выбора. Некоторые из них включают в себя: модули обнаружения списков каталогов, небезопасные модули проверки скриптов, проверки заголовков HTTP и модули безопасности файлов cookie. После настройки параметров сканирования инструмент запускает сканирование целевого веб-сайта на основе заданных параметров. Любая найденная уязвимость отображается инструментом, как показано на следующем снимке экрана.

Суммарное сканирование веб-сайта

Выводы об инструменте для сканирования безопасности Vega

Vega имеет широкий диапазон модулей для тестирования уязвимостей веб-приложений. Некоторые пути, файлы могут быть исключены из сканирования, чтобы сделать процесс более целенаправленным или конкретным. Инструмент также предоставляет путь к уязвимым URL для дальнейшего анализа. Одним из основных недостатков является то, что ложно-положительная ставка довольно ужасная, над этим нужно работать, чтобы улучшить инструмент и сделать его более жизнеспособным вариантом для тестов на уязвимости.

Подписывайтесь на обновления сайта, а также наш Telegram.