Sh00t هو أداة إدارة اختبار الاختراق عالية للتخصيص الذي يسمح اختبار اليدوية تؤكد اختبارات السلامة، وتسمح لك أن تركز على تنفيذ مهمة اختبار السلامة في حد ذاته. وبالإضافة إلى ذلك، يوفر Sh00t لنا أيضا مع تأليف لائحة من حالات الاختبار، ويمكن استخدام نموذج تقرير الضعف محددة ذاتيا لإنشاء تقارير الضعف.

ممتلكات

مدير المهام الحيوي لاستبدال بسيطة محرر أو إدارة المهام أداة

الآلي، وقائمة للتخصيص من حالة اختبار السلامة لاستبدال إيفرنوت و OneNote، أو غيرها من الأدوات

قوالب مخصصة إدارة علة لأغراض مختلفة وتلقائيا توليد التقارير الضعف

الدعم لعمليات التقييم والمشاريع متعددة لمنطقيا فصل مختلف الاحتياجات الخاصة بك

يتم حفظ كافة العمليات تلقائيا

تقارير الأخطاء التي تنشأ تلقائيا لتصدير تخفيض السعر، وتقديم HackerOne!

المتكاملة جيرة، تعيين ServiceNow - قريبا

ضعف تصدير التقرير إلى تخفيض السعر - قريبا

عالية للتخصيص

تثبيت

Sh00t حاجة لتثبيت بيثون 3 وكذلك بعض الحزم الإضافية. وأسهل طريقة هي استخدام تشكيلة البيئة Sh00t كوندا. ومع ذلك، إذا قمت بتثبيت بيثون 3 والنقطة، اناكوندا هو اختياري - يمكنك تخطي إلى الخطوة 4.

الإعداد لمرة واحدة

1. تثبيت كوندا بيئة تثبيت الحد الأدنى Miniconda، واتبع تعليمات التثبيت. بعد اكتمال التثبيت تحتاج إلى تحميل ملف التكوين باش، أو إعادة تشغيل محطة حتى قيادة كوندا نافذة المفعول. ويندوز، بدء اناكوندا موجه وتشغيل جميع الأوامر التالية في الإطار.

2. إنشاء الجديدة بيثون 3 بيئات: كوندا إنشاء -n sh00t الثعبان = 3.6

3. تنشيط بيئة sh00t: كوندا تفعيل sh00t. إذا كنت ترى CommandNotFoundError مماثلة: لم يتم تكوين قذيفة على نحو صحيح لاستخدام "كوندا تفعيل" رسالة خطأ، يجب يدويا تمكين القيادة كوندا. اتبع الإرشادات والرسائل الخطأ المعروضة. قد تحتاج إلى تحميل ملف التكوين أو محطة باش إعادة التشغيل. Sh00t محاولة تنشيط مرة أخرى: كوندا تفعيل sh00t. هذه المرة يجب أن تشاهد (sh00t) XXXX $ في المحطة.

4. استنساخ أو تحميل أحدث نسخة من المشروع إلى الموقع الذي تحدده: الشبكي: //github.com/pavanw3b/sh00t. سوف بوابة استنساخ تحتاج إلى تثبيت بوابة.

5. المجلد sh00t بفك: مؤتمر نزع السلاح sh00t. لاحظ أن هذا هو ملف المشروع في دليل sh00t الأبعد بدلا sh00t / sh00t.

6. تركيب تبعيات Sh00t: نقطة تثبيت requirements.txt -r

7. تعيين قاعدة البيانات: الثعبان manage.py ترحيل

8. إنشاء حساب مستخدم: الثعبان manage.py createsuperuser وإنشاء حساب وفقا لUI.

9. اختياري ولكن يوصى به: من OWASP دليل اختبار (OTG) ودليل تطبيق ويب هاكر (WAHH) من انفع 174 حالات الاختبار الأمني: الثعبان reset.py.

بداية Sh00t:

إذا كان جهاز الكمبيوتر الخاص بك بيثون 3 تثبيت، يمكنك الانتقال مباشرة إلى الخطوة 3.

1. إذا كان لينكس / ماك، فإنه يفتح المعبر. إذا كنت تستخدم نظام التشغيل Windows، افتح موجه اناكوندا.

sh00t 2. لم يتم تنشيط بيئة: كوندا تفعيل sh00t

3. إذا كنت لا دليل sh00t، يرجى انتقل إلى الدليل: القرص المضغوط sh00t

4. بدء Sh00t الخادم: الثعبان manage.py runserver

5. الوصول في المتصفح المفضل لديك. قبل أن تتمكن من استخدامها لإنشاء المستخدم في أوراق الاعتماد الإعدادات.

6. مرحبا بكم في Sh00t!

7. عند الانتهاء، قم بإيقاف خدمة: السيطرة + C

8. (اختياري) بيئة sh00t مغلقة لتستمر مع المهام الأخرى: كوندا إلغاء التنشيط.

ترقية:

1. انتقل إلى ملف المجلد استنساخ sh00t: مؤتمر نزع السلاح sh00t

2. إذا كانت الخدمة قيد التشغيل، إيقاف الخدمة: السيطرة + C

3.git سحب أحدث مكتبة رمز، أو تحميل شفرة المصدر من جيثب واستبدال الملف.

4. sh00t إذا لم يتم تنشيط البيئة: كوندا تفعيل sh00t

5. تبعيات تعيين: نقطة تثبيت requirements.txt -r

6. الهجرة أحدث التغييرات قاعدة البيانات: الثعبان manage.py ترحيل

7. بدء تشغيل الخادم: الثعبان manage.py runserver

خطأ حول:

هو مكتوب Sh00t في بيثون، الإطار الويب جانغو من خلال تقديم الدعم. إن وجدت الأخطاء المشاكل، يمكنك البحث عن رسائل الخطأ من قبل جوجل، في معظم الحالات، تكون قادرة على حل مشكلتك. إذا كنت لا تزال لا يمكن حلها، ثم يمكنك أيضا جيثب مشكلة القضية ردود الفعل.

مسرد:

علم : العلم هو علامة للهدف، وهذا هو، والحاجة إلى حالات الاختبار لاختبار. يتم إنشاؤها العلم تلقائيا استنادا إلى طريقة الاختبار المختار، تتألف من الخطوات المفصلة الاختبار. واذا تأكدت من ضعف، ثم نسميها sh0t.

Sh0t : Sh0ts هذه الثغرة. عادة، Sh0t يحتوي على الوصف التقني للضعف توصيات ملف / URL التكاثر وإصلاح المتضررة. الكثير Sh0t هو مفتاح ولدت فقط باسم "المعلمات المتضررة" "خطوات" مثل هذا المحتوى ديناميكية إلى التغيير.

تقدير : تقييم هذا الاختبار والتقييم. قد يكون تقييم تطبيق أو مشروع - اعتمادا على الطريقة المستخدمين تريد إدارة، بل هو جزء من المشروع.

مشروع : يحتوي المشروع على التقييم. يمكن أن المشروع منطقيا فصل عملك. ويمكن أن يكون وظيفة مختلفة، مكافأة الضعف، كل متروك لكم.

كيف يعمل؟

أولا إنشاء التقييم الجديد. اختر الطريقة التي ترغب في اختبار. يوجد حاليا 330 حالات الاختبار، وتنقسم الى 86 أعلام، ينتمون إلى 13 وحدات، يتم إنشاء هذه الوحدات من "دليل هاكر تطبيق ويب" طريقة الاختبار. وحدات وأعلام ويمكن تحديد يدويا وتخصيص. بعد إنشاء تقييم استخدام أعلام، يجب اختبار الآن اختبارها يدويا أو شبه الآلية اختبار مع مساعدة من الماسحات الضوئية، والأدوات، وعند الانتهاء وضع علامة "تم". عند إجراء التقييم، ونحن غالبا ما توفر حالات الاختبار محددة مخصصة في تطبيق بعض المشاهد. يمكنك بسهولة إنشاء علم جديد في أي وقت من الأوقات.

كلما أكدت العلم بوصفها علة صحيحة، فإنه سيتم إنشاء Sh0t. يمكنك اختيار القالب الذي يطابق علة، وsh00t ملء الثغرات تلقائيا في تقرير يستند إلى القالب المحدد.

لقطات ذات الصلة

لوحة:

الأعلام:

طرق اختيار وحالات الاختبار عند إنشاء التقييم الجديد:

قوالب التقرير الضعف:

بالنسبة للأشخاص Sh00t

المهندس 1. تطبيق الأمن: اختبار الاختراق وتقييم أوجه الضعف

2.Bug باونتي هنتر

3. الباحث أمنية مستقلة

4. الفريق الأزرق، وإصلاحات المطور علة

5. أي المتحمسين أمن الشبكات أو المهنيين

* المرجع المصدر: جيثب، FB شياو بيان جمعت secist، يرجى تحديد مستنسخة من FreeBuf.COM