Сводки за последнее время: обновление eXploit.By, запуск английской версии, работа над ошибками и многое другое

| 01.02.2016 | PHP, Python, Программирование | Комментариев нет
 Всех приветствую!
Длительное время отсутствовал по причине полной занятости и работы как над своими проектами, так и чужими.Начать хотелось бы с кратенького обзора полностью переработанного exploit.by.
Дизайн изменил и доработал, лишнее убрал, нужное добавил, все адаптивно, удобно и максимально просто. Дизайн построен на базе фреймворка Twitter Bootstrap.exploitby_1

 

По функционалу изменение тоже глобальные: сканер полностью переделан, упрощен, лишнее удалено, новые фичи добавлены (будут добавляться и обновляться на постоянной основе).
Из нового:
— раздел баз данных
— новый сканер
— добавлен блог
— переделан личный кабинет
— отдельно сделаны база и сканер для WordPress

exploitby_2


Базы данных были разделены на несколько частей, в частности захотелось выделить в отдельные базы такие темы как:

  •  IBM X-Force Exchange — задача этой базы агрегировать информацию с офиц. сайта IBM в удобный читаемый формат с пометкой проверенных уязвимостей и удобными описаниями (доступен поиск по всей базе IBM)
  •  База данных для хранения уязвимых сайтов которые ругаются ошибками прямо в гугл (информация берется из поисковой системы)  которая обновляется (весьма редко) из гугла и так же в нее пишутся результаты сканера (исключительно по желанию пользователей)
  •  База Sauron — в ней лежат данные по сервисам и службам (БД, SSH, SMTP, FTP и т.д.) по белорусскому сегменту интернета, есть возможность искать по IP (чтоб можно было если что, найти свой сервер)
Пример отчета:
 exploitby_3

Фичей у сканера теперь гораздо больше чем было ранее: heartbleed, poodle, проверка IP в черных списках, проверка сайтов по базам Google SafeBrowsing и MacAfee SiteAdvisor, сканирование популярных портов, проверка слабых паролей FTP и MySQL, сбор информации (email и домены) в гугле, проверка заголовков веб-сервера, AXFR и DNS Amplification проверки. Для сканирования сайта достаточно указать IP адрес или доменное имя, стоит так же помнить, что результаты сохраняются в базу данных включая IP адрес того, кто сканировал.
Была запущена так же английская версия сканера и сервиса по адресу scanforsecurity.com, небольшие различия у сервисов будут в перспективе.
Так же будет выпущена небольшая оффлайн версия сканера на python.

Смотрите так же   Быстрые деньги для пентестера

По работе над ошибками время тоже было потрачено не зря. Были преобретены навыки разработки документации, создания качественных отчетов и работы с некоторыми новыми тулами. Об этом попробую написать подробнее в следующей статье.

Из много другого хотелось бы отметить появление определенного интереса к белорусскому рынку безопасности, опыт выполнения проектов корпоративного уровня и так же опыт самостоятельной работы на фрилансе (как онлаин биржи, так и оффлаин когда сам ходишь и ищешь). Про это возможно тоже немного будет написано.

С учетом того, что сейчас идет работа сразу по нескольким направлениям и над несколькими проектами, буду стараться хотя бы раз в недельку оставлять интересную заметку.

Тэги:, , , , ,

Может быть интересно:

Похожие записи

Добавьте комментарий