Архив за месяц: Июль 2016

Обзор сканера уязвимостей Vega

vega-transparent_200pxAuthor: Subgraph
Licence: Open Source / Free
Platforms: Windows, Linux, Mac

Vega — довольно мощный, универсальный сканер уязвимостей и сниффер пакетов. Интерфейс достаточно простой и не перегружен функционалом. Сканер позволяет проводить автоматический аудит сайта на наличие наиболее распространённых уязвимостей (OWASP Top 10), автоматически ранжирует найденные уязвимости по серьёзности и отображает исчерпывающую информацию (на какой страничке найдена уязвимость, её полное описание и используемый эксплоит, как исправить, отправленный/полученный TCP пакет). Из минусов — разработчики довольно медленно развивают продукт и на данный момент (07/2016) по-прежнему не реализована выгрузка результатов во внешние форматы (отчёты).

Vega, как любой приличный сканер, поддерживает работу с сайтами которые требуют аутентификацию и это сильно расширяет возможности сканирования, если у нас есть credentials или хотя бы cookies пользователя тестируемого сайта. Собственно, давайте начнём с того, что воспользуемся встроенным сниффером и перехватим наши же cookies для сайта-тренажёра WebGoat.

Читать далее

Обзор сканера уязвимостей OpenVAS

OpenVAS — Мощный и, что немаловажно, бесплатный сканер для тестирования защищённости веб-приложений и серверов. Обладает впечатляющим функционалом, объединяет в себе как встроенные возможности сканирования (обновляемые словари сигнатур эксплоитов NVT/SCAP/CERT), так и использование общепризнанных утилит типа nmap.

Если вы используете Kali Linux 2, OpenVAS уже входит в состав сборки, но перед первым использованием рекомендуется обновить пакеты в системе (apt-get update, apt-get dist-upgrade) и провести инициализацию сканера (Applications->Vulnerability Analysis->openvas initial setup). В консоли, где у вас будет проходить инициализация, обратите внимание на строку «User created with password..», используйте логин admin и сгенерированный пароль (который может выглядеть как длинная хеш-строка) для доступа в панель управления сканером:
OpenVAS_vulnerability_scanner_600px

Пользоваться сканером просто — в разделе Scan Management (либо на главной странице после запуска) вводите адрес сканируемого хоста и жмёте Start Scan. Можно оставить на ночь, сканер весьма неторопливый. Хм, что-то нашлось 🙂
OpenVAS_found_issues_630px

Announce for ‘Advanced Test Automation Techniques for Responsive Apps and Sites’

e711eb50-d15af060-app-logo-subtitle-white-200-50-var2Struggling with coding automated tests for your responsive web-app, full of asynchronous JS, yet on various types of devices, ha? Then it worth to join and visit this free webinar.

This session is organised by Applitools, you will learn how to:

  • Implement generic tests that work for all the layouts of your app
  • Control browser’s viewport size to accurately target layout transition points
  • Incorporate layout-specific assertions in your tests
  • Effectively design responsive page objects
  • Visually validate the correctness of your app’s layout

Yet the organizers follow with advanced session, where they going to implement a complete Selenium-based automated test for a popular responsive website from scratch.

Date: Tuesday, July 26
Time: 10 am PDT / 1 pm EDT / 5 pm GMT
Duration: 1 hour