Archery, realiza escaneos y administra vulnerabilidades con esta herramienta

Un experto en seguridad informática explica que, Archery es una herramienta de administración y evaluación de vulnerabilidad de código abierto que ayuda a los desarrolladores y evaluadores a realizar escaneos y administrar vulnerabilidades. Archery utiliza herramientas de código abierto para realizar un escaneo completo de la aplicación web y la red. De la misma manera, esta herramienta realiza el escaneado autenticado dinámico de la aplicación web y cubre las aplicaciones mediante el uso de selenium. Esta herramienta también se puede utilizar para la implementación de un entorno DevOps CI / CD.

archery.JPG

Esta es una pequeña lista de lo que puede hacer la herramienta:

  • Realice escaneos de vulnerabilidades de red y de red utilizando herramientas de código abierto.
  • Correlaciona y colabora todos los datos de escaneos sin formato, los muestra de forma consolidada.
  • Realice un escaneo web autenticado.
  • Realice la exploración de la aplicación web usando selenio.
  • Gestión de Vulnerabilidades.
  • Habilite la API REST para que los desarrolladores realicen análisis y administración de vulnerabilidades.
  • Sistema de venta de entradas JIRA.
  • Descubrimiento y escaneo de subdominios.
  • Escaneos periódicos
  • Escaneos concurrentes.
  • Útil para los equipos de DevOps para la gestión de vulnerabilidades.

El profesional nos dio una lisra de requisitos:

  • Python 2.7
  • OpenVas 8
  • OWASP ZAP 2.7.0
  • Selenium Python Firefox Web driver

Debe habilitar la API REST Burp. Puede gestionar y desencadenar escaneos utilizando Archery una vez que la API REST esté habilitada.

archery 1

Setup Setting

ZAP ejecutando el modo daemon

Para Windows:  zap.bat -daemon -host 0.0.0.0 -port 8080 -config api.disablekey=true -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true

Para otro: zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.disablekey=true -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true

El profesional en seguridad informática nos da direcciones para la configuración de Zap.

  • Ir a la página de configuración
  • Edite la configuración de ZAP o navegue por la URL: http: // host: port / setting_edit /
  • Complete la información requerida.
    • Clave de la API Zap: déjelo en blanco si usa ZAP como daemon api.disablekey = true
    • Zap API Host: su API de host zap IP o IP de sistema ex. 127.0.0.1 o 192.168.0.2
    • Puerto API de Zap: puerto de ejecución ZAP

Ahora para la configuración de OpenVAS.

  • Ir a la página de configuración
  • Edite la configuración de OpenVAS o navegue por la URL: http: // host: port / networkscanners / openvas_setting
  • Complete la información requerida y guarde.

Mapa vial

Analizador de analizadores y plugin

  • Nessus
  • Netsparker

Soporte de plugin de Popular Tools.

  • Análisis de SSL
  • Nikto

Informes

  • PDF

Escaneo automático de vulnerabilidades de API.

Imágenes POC de vulnerabilidad.

Escaneo de seguridad en la nube.

Es importante mencionar que actualmente el proyecto está en fase de desarrollo y todavía hay trabajo en marcha.

 

(Visited 575 times, 1 visits today)