Vulnreport:开源渗透测试自动化管理平台
导语:Vulnreport是一个管理渗透测试和自动生成报告的平台,为安全工程师节约大量的时间。它被设计来管理渗透测试,代码审计,并且生成漏洞报告。
Vulnreport是一个管理渗透测试和自动生成报告的平台,为安全工程师节约大量的时间。它被设计来管理渗透测试,代码审计,并且生成漏洞报告。使用Vulnreport可以让安全研究者省去编写报告的时间,更专注于渗透测试的核心工作——寻找漏洞。
Vulnreport会跟踪你测试中的漏洞,提供一个简单的管理界面,然后分析你发现的漏洞,和你的时间消耗点。Vulnreport同时也可也作为其他漏洞评估工具的插件使用。讲它插入到你的自动化渗透测试框架中,然后观察漏洞数据流。
Vulnreport是Salesforce产品安全团队为了节省写报告的时间开发的。他们的目的是开发一款伟大的安全工具,让渗透测试者和安全工程师专注于发现和修复漏洞。
它在2016年的黑帽大会上开源,并且定期更新,所有安全社区的成员都可以修改,提交代码。Vulnreport使用了Ruby/Rack 应用,这使用了Sinatra DSL框架。如果你在你的虚拟机或者服务器上安装Vulnreport,你需要安装下面这些依赖:
Ruby (>= 2.1) PostgreSQL Redis (可选) Rollbar Bundler WKHTMLTOPDF (可选)
从仓库中克隆代码然后打开.env文件,并更新。运行bundleinstall。你可能需要修改start.sh,因为你的环境可能不一样——仓库里有一个是开发调试版本。你需要基于.env.example建立一个.env文件,或者设置ENV环境变量。
在使用Vulnreport之前,你需要运行一次脚本来配置数据库,并初始化。这个脚本可以在根目录下找到,文件名为SEED.rb。运行方式./SEED.rb。如果你在Heroku,你需要这样运行heroku run ./SEED.rb -a [Vulnreport App]。如果你使用Heroku特征自动部署,这个步骤会自动完成。
当你运行脚本时,会有如下输出:
部署Vulnreport和seed脚本运行之后,你还需要在在线app中进行配置。首先,你要删掉这个seed脚本。然后用管理员帐户登录到Vulnreport——用户名admin 密码admin。默认账号密码需要马上修改,或者配置单点登录。
登录之后你首先需要设置的是Settings> VR Settings(/admin/settings)。这里你需要设置用户名和认证信息。然后,你可以重新配置用户设置和其他用户,组织,记录类型,漏洞类型等等。详细管理和配置方法请阅读文档。
发表评论