Archery是一款开源的漏洞评估和管理工具,它可以帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用流行的开源工具来执行对Web应用及网络的全面扫描。它还可执行Web应用程序动态验证扫描,并使用selenium覆盖整个应用程序。开发人员也可以使用该工具来实现其DevOps CI/CD环境。
相关文档
https://archerysec.github.io/archerysec/
Demo
工具概述
- 使用开源工具执行Web和网络漏洞扫描。
- 关联和协作所有原始扫描数据,并最终以合并的方式展示它们。
- 执行Web应用程序验证扫描。
- 使用selenium执行Web应用程序扫描。
- 漏洞管理。
- 支持通过REST API来执行扫描和漏洞管理。
- 适用于DevOps团队的漏洞管理。
注意
当前该项目正处于开发阶段,还有很多工作正在进行中。
环境需求
- Python 2.7
- OpenVas 8
- OWASP ZAP 2.7.0
- Selenium Python Firefox Web驱动
Burp扫描器
可按照以下说明文档,启用Burp REST API。启用REST API后,你可以使用Archery管理和触发扫描。
安装
$ git clone https://github.com/archerysec/archerysec.git $ cd archerysec $ pip install -r requirements.txt $ python manage.py collectstatic $ python manage.py makemigrations networkscanners $ python manage.py makemigrations webscanners $ python manage.py makemigrations projects $ python manage.py makemigrations APIScan $ python manage.py migrate $ python manage.py createsuperuser $ python manage.py runserver
注意:请确保在每次git pull之后执行这些步骤(除了createsuperuser)。
设置
Zap设置
- 转到设置页
- 编辑ZAP设置或导航到URL:http://host:port/setting_edit/
- 填写所有必填信息并点击保存。
OpenVAS设置
- 转到设置页
- 编辑OpenVAS设置或导航到URL:http://host:port/networkscanners/?openvas_setting
- 填写所有必填信息并点击保存。
路线图
- API自动漏洞扫描。
- 扫描前执行侦察。
- 并发扫描。
- 漏洞POC图片。
- 云安全扫描。
- 仪表盘。
- 易于安装。
首席开发人员
Anand Tiwari -?https://github.com/anandtiwarics
联系我们
*参考来源:GitHub,FB小编 secist 编译,转载请注明来自FreeBuf.COM
转载请注明:即刻安全 » Archery:开源漏洞评估和管理工具