-



Archerysec - تقييم الضعف المفتوح المصدر والإدارة يساعد المطورين والخوادم على إجراء عمليات المسح وإدارة نقاط الضعف

الرماية هي أداة لتقييم وإدارة الضعف في المصادر المفتوحة والتي تساعد المطورين والخبراء على إجراء عمليات المسح وإدارة نقاط الضعف. يستخدم الرماية أدوات مفتوحة المصدر شعبية لإجراء مسح شامل لتطبيق الويب والشبكة. كما يقوم بإجراء مسح ضوئي ديناميكي معتمد على الويب ويغطي التطبيقات بأكملها باستخدام السلينيوم. يمكن للمطورين أيضًا استخدام الأداة لتنفيذ بيئة DevOps CI / CD الخاصة بهم.

كابل بيانات



عرض


نظرة عامة على الأداة:
  • أداء شبكة الإنترنت وشبكة الضعف المسح الضوئيباستخدام أدوات مفتوحة المصدر.
  • يرتبط ويتعاون جميع بيانات المسح الضوئي الخام ، وتبين لهم بطريقة موحدة.
  • إجراء مسح الويب المصادق عليه.
  • أداء مسح تطبيق ويب باستخدام السيلينيوم.
  • إدارة الضعف.
  • تمكين REST API للمطورين لإجراء مسح وإدارة الضعف.
  • مفيد لفرق DevOps لإدارة الضعف.

ملاحظة
المشروع حاليًا في مرحلة التطوير وما زال هناك الكثير من العمل الجاري. 

المتطلبات

Burp Scanner
اتبع التعليمات من أجل تمكين Burp REST API. يمكنك إدارة وفحص عمليات المسح باستخدام Archery بمجردتمكين REST API .

التركيب
$ git clone https://github.com/archerysec/archerysec.git
 $ cd archerysec
 $ pip install -r requirements.txt
 $ python manage.py collectstatic
 $ python manage.py makemigrations networkscanners
 $ python manage.py makemigrations webscanners
 $ python manage.py makemigrations projects
 $ python manage.py makemigrations APIScan
 $ python manage.py makemigrations osintscan
 $ python manage.py makemigrations jiraticketing
 $ python manage.py migrate
 $ python manage.py createsuperuser
 $ python manage.py runserver
ملاحظة: تأكد من أن هذه الخطوات (باستثناء createuperuser) يجب أن تنفذ بعد كل سحب git. 

Docker Installation
يتوفر ArcherySec Docker من ArcherySec Docker
$ docker pull archerysec/archerysec
 $ docker run -it -p 8000:8000 archerysec/archerysec:latest
 
 # For persistence
 
 docker run -it -p 8000:8000 -v <your_local_dir>:/root/.archerysec archerysec/archerysec:latest

إعداد وضع

ZAP تشغيل الوضع الخفي
ويندوز:
zap.bat -daemon -host 0.0.0.0 -port 8080 -config api.disablekey=true -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true
الآخرين :
zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.disablekey=true -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true

انطلق الإعداد
  1. الذهاب إلى إعداد الصفحة
  2. تحرير إعداد ZAP أو التنقل URL: http: // host: port / setting_edit /
  3. املأ المعلومات المطلوبة أدناه. 
    مفتاح واجهة برمجة التطبيقات Zap: اتركه فارغًا إذا كنت تستخدم ZAP api.disablekey=true 
    كمضيف برنامج API مضيف: مضيف واجهة برمجة التطبيقات zap API أو نظام IP Ex. 127.0.0.1أو 192.168.0.2 
    منفذ واجهة برمجة تطبيقات Zap: ZAP running port Ex.8080

إعداد OpenVAS
  1. انتقل إلى إعداد الصفحة
  2. تحرير إعداد OpenVAS أو التنقل URL: http: // host: port / networkscanners / openvas_setting
  3. املأ جميع المعلومات المطلوبة وانقر على "حفظ".

خريطة الطريق
  • API المسح الضعف الآلي.
  • قم بتنفيذ الاستطلاع قبل المسح.
  • الفحص المتزامن.
  • صور POC الضعف.
  • مسح سحابة الأمن.
  • لوحات
  • سهلة التركيب.

Lead Lead
Anand Tiwari - https://github.com/anandtiwarics



Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite