Como Funciona o GoLismero

Adriano Martins Antonio

Adriano Martins Antonio

em 8 de maio de 2020

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Como Funciona o GoLismero

Hoje vou falar de outra poderosa ferramenta de varredura de vulnerabilidades de aplicativos da Web. Para falar a verdade, eu nem considero muito como uma simples ferramenta, mas sim, um framework fácil de usar, com diversas integrações e, para variar, gratuito! Estou falando do GoLismero!

Faça gratuitamente o Curso Online Ethical Hacking Overview

Funcionalidades do GoLismero

O GoLismero é um software livre desenvolvido para realizar testes de segurança. Atualmente, ele é voltado para segurança na Web, mas pode ser facilmente expandido para outros tipos de varreduras.

Suas características mais interessantes são:

  • Bom desempenho quando comparado com outras estruturas escritas em Python, assim como, com outras linguagens de script.
  • Muito fácil de usar.
  • O desenvolvimento de plugins é extremamente simples.
  • Integração com padrões: CWE, CVE e OWASP.
  • Projetado para implantação de cluster (ainda não disponível, porém já em planejamento).

Ele pode executar seus próprios testes e gerenciar muitas ferramentas de segurança bem conhecidas, como por exemplo: OpenVas, Wfuzz, SQLMap, DNS recon, analisador de robôs, etc.

Desse modo, ele obtém resultados, feedback para o restante das ferramentas e então realiza a mesclagem desses resultados. E tudo isso automaticamente.

Em resumo, o Golismero é usado para mapear aplicativos da web e encontrar vulnerabilidades.

Esta ferramenta foi projetada para ser usada por testadores de penetração e por equipes vermelhas* para ajudar a encontrar falhas na aplicação da web, reunindo várias outras ferramentas de teste de intrusão, também conhecido como pentest (contração do temor penetration testing).

*O termo “equipe vermelha” (Red Team) é muito utilizado nos Estados Unidos para definir um grupo independente que desafia uma organização a melhorar sua eficácia, assumindo um papel ou um ponto de vista contraditório. Também muito eficaz para abordar certos problemas.

Portanto, com o Golismero, você faz uma economia de tempo absurda, já que acaba com a execução de outras ferramentas individualmente.

GRÁTIS! Aprenda tudo sobre programação segura com o Curso Online Secure Programming Overview

Benefícios do GoLismero

  • Software grátis

A comunidade GoLismero pode contribuir com suas ideias e melhorar o GoLismero. Dessa forma, atualizações são realizadas com frequência, incorporando novas funções.

  • Independência de plataforma real

Testado no Windows, Linux, *BSD e OS X.

  • Nenhuma dependência de biblioteca nativa

Todo o framework foi escrito em Python puro.

  • Boa performance

Comparado com outras estruturas escritas em Python e outras linguagens de script, o GoLismero possui o melhor desempenho.

  • Usabilidade

Com poucos comandos, ou até mesmo um único comando, você pode iniciar varreduras e reportar vulnerabilidades

  • Desenvolvimento de plugins

Novos plugins podem ser desenvolvidos usando o IDE da GoLismero que são baseados na nuvem.

  • Unifica os resultados

O framework também coleta e unifica os resultados de ferramentas bem conhecidas: sqlmap, xsser, openvas, dnsrecon, theharvester …

  • Integração com padrões

CWE, CVE, OWASP e muitos outros.

Como pode ser instalado?

Instalação Golismero

No Linux, o Golismero pode ser instalado usando os seguintes comandos:

#sudo bash

#apt-get install python2.7 python2.7-dev python-pip python-docutils git perl nmap sslscan

#cd /opt

#git clone https://github.com/golismero/golismero.git

#cd golismero

#pip install -r requirements.txt

#pip install -r requirements_unix.txt

#ln -s /opt/golismero/golismero.py /usr/bin/golismero

#exit

Já para a instalá-lo em outros sistemas operacionais, você confere os detalhes aqui no Githut.

GRÁTIS! Curso Online ISO 27001 Overview

GoLismero Funcionando

Agora, vamos ver a ferramenta em ação!

GoLismero em ação

Os comandos importantes do GoLismero incluem:

  • SCAN
  • RESCAN
  • PROFILES
  • PLUGINS
  • INFO
  • REPORT
  • DUMP
  • LOAD
  • IMPORT

O comando SCAN é usado para localizar as vulnerabilidades no aplicativo da Web de destino. Por exemplo, o seguinte comando pode ser usado para encontrar falhas no site de destino.

#golismero scan

A auditoria pode receber um nome usando o seguinte comando:

#golismero scan –audit-name

Da mesma forma, o nome do arquivo e a sua extensão também podem ser fornecidos para informar a ferramenta para salvar o relatório no formato desejado usando o seguinte comando:

#golismero scan –audit-name

O GoLismero pode ser integrado a outras ferramentas de segurança, por exemplo: Open Vas, DNS recon e Nikto. Essa integração permite mesclar os relatórios dessas ferramentas em um único relatório.

O comando IMPORT é usado para importar os resultados de outras ferramentas. Ou seja, para importar os resultados da ferramenta Nikto para o GoLismero, o comando a seguir pode ser usado, e os resultados são armazenados automaticamente em um arquivo de banco de dados:

#python golismero.py import -i nikto_output.csv -i nmap_output.xml -db database.db

Próximos recursos:

Os próximos recursos do GoLismero incluem a integração da ferramenta com outras ferramentas de segurança, como Metasploit, ZAP (faça o download do projeto ZAP – Zed Attack Proxy) e SQLMap. Web UI (interface de usuário), assim como, mais plugins e resultados em formato PDF, são elementos que fazem parte do futuro plano de lançamento da ferramenta.

Baixe a ferramenta daqui

Então, o que você achou? Já teve alguma experiência com esta ferramenta? Deixe suas impressões nos comentários.

Leia também: Carreiras e Certificações de Segurança da Informação

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Você voltou! 😊 Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
Aproveite agora o desconto de 10%! Essa é a sua última chance! Resgatar Agora!

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X