YAWAST: подробная информация, установка и запуск программы
YAWAST представляет собой полноценный набор инструментов для проведения тестирования веб-приложений на предмет проникновения. Выполняет ряд основных задач и работу по сбору сведений, выставлению оценок степени уязвимости, которые связанны с уровнем защитных сокетов (SSL), безопасностью транспортного уровня (TLS), а также с рядом файлов, каталогов и заголовков.
Подробное описание работы Yawast
Инструменты выполняют большое количество задач, которые связаны, в основном, с обнаружением различных проблем, связанных с неправильной конфигурацией.
1. Сбор информации о:
сведениях, связанных с сертификатами о безопасности;
поддерживаемых шифрах;
записях DNS CAA, которые нужны во избежание несанкционированных выдач сертификатов, в случайном либо преднамеренном проникновении внутрь ресурса.
2. Выявление проблем, связанных с SSL:
наличие сертификатов, имеющих истекший срок действия;
липовые сертификаты;
проблема с подписью алгоритма (MD5), позволяющего заполучить дубликат исходной строки;
проблема с подписью криптографического хеширования (SHA1);
слабый комплект шифра.
3. Тестирование сбора информации, благодаря чему можно получить:
сведения о заголовках;
данные о серверах;
информацию о системе управления наполнением сайта;
сведения о различных модулях и прочего.
Также набор инструментов направлен на проверку включения заголовков http в веб-программах. Например, заголовки могут быть:
х-рowered-by;
x-runtime;
x-frame-options;
content-security-policy;
x-xss и другое.
Стоит отметить, что при помощи инструментов ЯВАСТ можно собрать информацию об ip-адресах, записях ТХТ, МХ, САА и NS, а также сведения про поддомены и прочее.
Как установить и запустить утилиту Yawast
Прежде чем установить набор инструментария, нужно провести установку пакета под названием Ruby 2.2+. Программа доступна для всех операционных систем, включая Windows, MAC OSX, Linux. Приведем в пример установку утилиты на операционной системе Linux. Это выполняется при помощи такой команды, как geminstall yawast. После этого все необходимые пакеты файлов будут установлены в автоматическом порядке. Для того чтобы программа ЯВАСТ функционировала в режиме проведения сканирования, надо ввести в специальную строку команду – yawast scan <target url here>. При помощи этой команды инструмент собирает информацию и проводит оценку уязвимости за один сеанс.
