Vega – сканер веб-сайтов на безопасность с открытым исходным кодом
Vega – это инструмент с открытым исходным кодом на основе GUID, используемый для тестирования безопасности веб-приложений. Инструмент может использоваться для проверки раскрытия конфиденциальной информации, такой как SQL-инъекция, слепая SQL-инъекция, отраженный перекрестный сценарий сайта, хранимые межсайтовые скрипты, инъекции оболочек и уязвимости включения файлов. Полный список модулей сканирования можно просмотреть из пользовательского интерфейса.
Установка Vega
Vega – это инструмент Java, совместимый с Linux, Windows и O SX. Чтобы установить этот инструмент в Linux, сначала запустите команду обновления, чтобы убедиться, что все зависимости установлены и обновлены.
apt-get update
После запуска команды «update» запустите следующую команду настройки Vega. Она установит инструмент vega в систему.
apt-get install vega
Если это не сработает, попробуйте установку с опцией ‘sudo’.
sudo apt-get install vega
Использование инструмента Vega
Vega GUI можно открыть, набрав «vega» в терминале.
vega
Целевой сайт можно добавить для сканирования через кнопку «начать новое сканирование» или нажать кнопку CTR + N. Это открывает окно для ввода базового url для сканирования с возможностью выбора области сканирования, известной как Target Scope. Целевая область позволяет выбирать базовые пути и исключать URL-адреса или шаблоны по нашему выбору.
После добавления цели перейдите к следующему шагу, чтобы выбрать модули, которые будут использоваться для сканирования. В инструменте доступны два типа модулей, а именно модули впрыска и модули обработки ответов. Категория модулей инъекций содержит ряд модулей тестирования инъекций, включая SQL, BSQL, LFI, HTTP, XML, XSS, Blind OS и Eval code injection.
Аналогично, категория обработки ответа также содержит хороший список модулей для выбора. Некоторые из них включают в себя: модули обнаружения списков каталогов, небезопасные модули проверки скриптов, проверки заголовков HTTP и модули безопасности файлов cookie. После настройки параметров сканирования инструмент запускает сканирование целевого веб-сайта на основе заданных параметров. Любая найденная уязвимость отображается инструментом, как показано на следующем снимке экрана.
Выводы об инструменте для сканирования безопасности Vega
Vega имеет широкий диапазон модулей для тестирования уязвимостей веб-приложений. Некоторые пути, файлы могут быть исключены из сканирования, чтобы сделать процесс более целенаправленным или конкретным. Инструмент также предоставляет путь к уязвимым URL для дальнейшего анализа. Одним из основных недостатков является то, что ложно-положительная ставка довольно ужасная, над этим нужно работать, чтобы улучшить инструмент и сделать его более жизнеспособным вариантом для тестов на уязвимости.
Подписывайтесь на обновления сайта, а также наш Telegram.