Представляем SpiderSuite: передовой сканер веб-безопасности

Я всегда ищу специализированный инструмент сканирования, который я могу использовать для визуализации всей просканированной поверхности и анализа содержимого отдельных страниц, чтобы помочь мне при проведении аудита безопасности веб-приложений. После долгих поисков и не найдя того, что соответствовало моим потребностям, я решил отправиться в долгое путешествие, чтобы построить его с нуля.

Потратив месяцы на его разработку, я здесь, чтобы официально представить вам SpiderSuite , продвинутый, бесплатный и кросс-платформенный сканер веб-безопасности.

Официальная страница: https://SpiderSuite.github.io/

Инструмент: https://github.com/3nock/SpiderSuite .

Чтобы быть более точным, SpiderSuite — это не инструмент, а набор инструментов для сканирования и аудита веб-безопасности.

SpiderSuite сканирует весь целевой сайт и сохраняет просканированные страницы в специально разработанной базе данных SQLite, чтобы упростить запросы и анализ отдельных просканированных страниц.

Один из принципов разработки SpiderSuite — предоставить пользователю максимально возможный контроль при сканировании, поэтому пользователь может настроить сканер по своему вкусу.

Функции

• Быстрое сканирование всего целевого сайта.
• Может сканировать целевой сайт путем подбора страниц.
• Пассивный поиск ссылок с использованием источников OSINT, таких как waybackmachine .
• Выполнение отдельных ручных http(s) запросов и сохранение результатов.
• Извлечение и отображение важного содержимого просканированных страниц, такого как сценарии, стили и комментарии, встроенные в веб-страницу.
• Графическая визуализация всей пройденной поверхности или ее ветви.
• Импортируйте просканированные страницы из других поисковых роботов и инструментов веб-безопасности, таких как burp suite, Fiddler, Katana и Caido.
• Сравнение просканированных страниц и проектов сканирования целиком.
• Экспортируйте просканированные ссылки в различные выходные форматы, такие как CSV, JSON, XML, HTML и Sitemap.xml.

Существует множество инструментов для обхода веб-безопасности, которые дают несколько похожие результаты на SpiderSuite, но не совсем предлагают те функции, которые мне нужны. Некоторые из лучших альтернатив SpiderSuite:

• Burp Suite — интегрированная платформа для тестирования безопасности веб-приложений. Он содержит веб-сканер/паук, но он тесно связан с остальной частью приложения Burp Suite, требует больших ресурсов и не предназначен для сканирования больших списков доменов.
• OWASP ZAP — сканер безопасности веб-приложений с открытым исходным кодом. Он содержит мощный веб-сканер, но, как и пакет burp, тесно связан с остальной частью ZAP.
• Katana — это фреймворк нового поколения для сканирования и поиска. Это очень мощная среда сканирования, но в качестве инструмента командной строки сложно взаимодействовать с результатами сканирования и визуализировать отдельные просканированные страницы.

Дорожная карта

SpiderSuite еще не завершен, и есть еще много чего, что нужно построить и исправить. Основная цель SpiderSuite — стать инструментом номер один для сканирования безопасности в области кибербезопасности.

Амбициозные цели, поставленные перед SpiderSuite, включают:

• Полировка существующих функций.
• Увеличение скорости и эффективности. В настоящее время SpiderSuite работает очень быстро, но если он может быть еще быстрее и эффективнее, то почему бы и нет.
• Система плагинов. Поддержка плагинов, которые пользователи и сообщество могут создавать и делиться ими.
• Встроенный пассивный и активный сканер уязвимостей.
• Интеграция с существующими сканерами уязвимостей с открытым исходным кодом, такими как [nuclei template engine]().
• Динамический поисковый робот.
• Поисковая оптимизация (SEO) сканирования.

Сведения об установке и использовании см.https://github.com/3nock/SpiderSuiteрепозиторий или посетитьhttps://SpiderSuite.github.io/официальный сайт.