Taipan – Escáner de seguridad de aplicaciones web

Taipan es un escáner automatizado de aplicaciones web que permite identificar las vulnerabilidades web de forma automática, explica el profesional de la seguridad de la información. Este proyecto es el motor principal de un proyecto más amplio que incluye otros componentes, como un panel de control web donde puede administrar su escaneo o descargar un informe en PDF y un agente de escaneo para ejecutar en un host específico.

taipan

Descargar la versión de lanzamiento

Si quieres probar la versión de desarrollo de Taipan sin esperar un lanzamiento oficial, puedes descargar la versión de compilación. Esta versión se crea cada vez que se realiza una confirmación y el proceso de compilación no se rompe. Puede descargarlo del Directorio de artefactos.

Usando Taipan

Taipan puede ejecutarse en Windows (nativamente) y Linux (con mono). Para ejecutarlo en Linux, debe instalar mono en la versión> = 4.8.0. Puede rastrear la implementación de las nuevas funciones en la placa Kanban relacionada.

Taipan permite escanear el sitio web dado especificando diferentes tipos de perfiles, dijo el experto en seguridad de la información. Cada perfil habilita o deshabilita una característica de escaneo específica, para mostrar todo el perfil disponible solo ejecuta Taipan con la opción –show-profiles_.

Durante un escaneo, puede interactuar estableciendo el escaneo en Pausa o Detener si es necesario. Para hacerlo, debes presionar:

P: pausa el escaneo

S: detener el escaneo

R: reanudar una exploración en pausa

El cambio de estado no es inmediato y debe esperar hasta que todos los hilos hayan alcanzado el estado del examinador.

Lanzar un escaneo

Para iniciar un nuevo escaneo, debe proporcionar la url y el perfil que debe usar. No es necesario especificar el nombre completo del perfil, un prefijo es suficiente.

Taipan.exe -p completo -u http://127.0.0.1/

Actualmente Taipan está desarrollado con el uso de VisualStudio 2017 Community Edition y usa Paket como gestor de paquetes, dijo el experto en seguridad de la información. Para construir el código fuente, debes:

  • Clonar el repositorio
  • Ejecutar la instalación de paket.exe
  • Abrir la solución en VisualStudio y compilarla

Taipan se compone de cuatro componentes principales:

  • Impresora digital de aplicación web: inspecciona la aplicación determinada para identificar si se trata de una aplicación COTS. Si es así, extrae la versión identificada.
  • Descubrimiento de recursos ocultos: este componente escanea la aplicación para identificar recursos que no son directamente navegables o que no deben ser accedidos, como páginas secretas o páginas de prueba.
  • Crawler: este componente navega por el sitio web para proporcionar a los otros componentes una lista de páginas para analizar. Permite mutar la solicitud para encontrar pathes no tan comunes.
  • Vulnerability Scanner: este componente explora la aplicación web e intenta identificar posibles vulnerabilidades. Se compone de varios AddOn para expandir fácilmente su Base de conocimiento.

https://asciinema.org/a/166362