Робота з веб-інтерфейсом

Перш за все, потрібно створити політики ­ це правила, за якими буде здійснено сканування. Таких політик в програмі є декілька. Деякі з них не доступні з безплатної версії. Проте, загальновживані присутні.

Найбільш вагомою є Політика тестування веб-додатків.

Рис. 33. Політики.

Вона має можливість сканування веб-додатків на різній «глибині».

Рис. 34. «Глибина» пошуку.

Після створення необхідних політик, можна створювати нове сканування.

Рис. 35. Нове сканування.

Є можливість сканування одразу декількох серверів, комп’ютерів, тощо.

Залежно від обраної політики та кількості адресів, сканування може зайняти чимало часу.

Тут на допомогу стає створення графіку сканування.

Завершене сканування має наступний вигляд

 

Рис. 36. Результат сканування.

Більш детальний перегляд

Рис. 37. Більш детальний результат сканування.

Відмінною особливістю сканера є рекомендації по усуненню вразливостей

Рис. 38. Рекомендації.

Завершальним етапом є імпорт збережених результатів сканування в базу даних Metasploit

db_import ‘/root/Desktop/nessus_report_PentestIT_Веб.nessus’

Рис. 39. Імпорт.

 

VEGA

В порівнянні з попереднім, даний сканер програє у інтерактивності. Його не можна покласти на віддалене сканування через певні проміжки часу. Але у порівнянні з більшістю, сканер виграє. Деякою перевагою над Nessus є те, що його не потрібно встановлювати як окремий сервер, а функціоналу він не сильно посувається. Це виражається у більш детальній побудові структурі сайту, а також більш жорсткій політиці тестування. Ключовою особливість є вивід рекомендацій по усуненню вразливостей.

Рис. 40. Vega.