Como Funciona o GoLismero
Hoje vou falar de outra poderosa ferramenta de varredura de vulnerabilidades de aplicativos da Web. Para falar a verdade, eu nem considero muito como uma simples ferramenta, mas sim, um framework fácil de usar, com diversas integrações e, para variar, gratuito! Estou falando do GoLismero!
Faça gratuitamente o Curso Online Ethical Hacking Overview
Funcionalidades do GoLismero
O GoLismero é um software livre desenvolvido para realizar testes de segurança. Atualmente, ele é voltado para segurança na Web, mas pode ser facilmente expandido para outros tipos de varreduras.
Suas características mais interessantes são:
- Bom desempenho quando comparado com outras estruturas escritas em Python, assim como, com outras linguagens de script.
- Muito fácil de usar.
- O desenvolvimento de plugins é extremamente simples.
- Integração com padrões: CWE, CVE e OWASP.
- Projetado para implantação de cluster (ainda não disponível, porém já em planejamento).
Ele pode executar seus próprios testes e gerenciar muitas ferramentas de segurança bem conhecidas, como por exemplo: OpenVas, Wfuzz, SQLMap, DNS recon, analisador de robôs, etc.
Desse modo, ele obtém resultados, feedback para o restante das ferramentas e então realiza a mesclagem desses resultados. E tudo isso automaticamente.
Em resumo, o Golismero é usado para mapear aplicativos da web e encontrar vulnerabilidades.
Esta ferramenta foi projetada para ser usada por testadores de penetração e por equipes vermelhas* para ajudar a encontrar falhas na aplicação da web, reunindo várias outras ferramentas de teste de intrusão, também conhecido como pentest (contração do temor penetration testing).
*O termo “equipe vermelha” (Red Team) é muito utilizado nos Estados Unidos para definir um grupo independente que desafia uma organização a melhorar sua eficácia, assumindo um papel ou um ponto de vista contraditório. Também muito eficaz para abordar certos problemas.
Portanto, com o Golismero, você faz uma economia de tempo absurda, já que acaba com a execução de outras ferramentas individualmente.
GRÁTIS! Aprenda tudo sobre programação segura com o Curso Online Secure Programming Overview
Benefícios do GoLismero
-
Software grátis
A comunidade GoLismero pode contribuir com suas ideias e melhorar o GoLismero. Dessa forma, atualizações são realizadas com frequência, incorporando novas funções.
-
Independência de plataforma real
Testado no Windows, Linux, *BSD e OS X.
-
Nenhuma dependência de biblioteca nativa
Todo o framework foi escrito em Python puro.
-
Boa performance
Comparado com outras estruturas escritas em Python e outras linguagens de script, o GoLismero possui o melhor desempenho.
-
Usabilidade
Com poucos comandos, ou até mesmo um único comando, você pode iniciar varreduras e reportar vulnerabilidades
-
Desenvolvimento de plugins
Novos plugins podem ser desenvolvidos usando o IDE da GoLismero que são baseados na nuvem.
-
Unifica os resultados
O framework também coleta e unifica os resultados de ferramentas bem conhecidas: sqlmap, xsser, openvas, dnsrecon, theharvester …
-
Integração com padrões
CWE, CVE, OWASP e muitos outros.
Como pode ser instalado?
No Linux, o Golismero pode ser instalado usando os seguintes comandos:
#sudo bash
#apt-get install python2.7 python2.7-dev python-pip python-docutils git perl nmap sslscan
#cd /opt
#git clone https://github.com/golismero/golismero.git
#cd golismero
#pip install -r requirements.txt
#pip install -r requirements_unix.txt
#ln -s /opt/golismero/golismero.py /usr/bin/golismero
#exit
Já para a instalá-lo em outros sistemas operacionais, você confere os detalhes aqui no Githut.
GRÁTIS! Curso Online ISO 27001 Overview
GoLismero Funcionando
Agora, vamos ver a ferramenta em ação!
Os comandos importantes do GoLismero incluem:
- SCAN
- RESCAN
- PROFILES
- PLUGINS
- INFO
- REPORT
- DUMP
- LOAD
- IMPORT
O comando SCAN é usado para localizar as vulnerabilidades no aplicativo da Web de destino. Por exemplo, o seguinte comando pode ser usado para encontrar falhas no site de destino.
#golismero scan
A auditoria pode receber um nome usando o seguinte comando:
#golismero scan –audit-name
Da mesma forma, o nome do arquivo e a sua extensão também podem ser fornecidos para informar a ferramenta para salvar o relatório no formato desejado usando o seguinte comando:
#golismero scan –audit-name
O GoLismero pode ser integrado a outras ferramentas de segurança, por exemplo: Open Vas, DNS recon e Nikto. Essa integração permite mesclar os relatórios dessas ferramentas em um único relatório.
O comando IMPORT é usado para importar os resultados de outras ferramentas. Ou seja, para importar os resultados da ferramenta Nikto para o GoLismero, o comando a seguir pode ser usado, e os resultados são armazenados automaticamente em um arquivo de banco de dados:
#python golismero.py import -i nikto_output.csv -i nmap_output.xml -db database.db
Próximos recursos:
Os próximos recursos do GoLismero incluem a integração da ferramenta com outras ferramentas de segurança, como Metasploit, ZAP (faça o download do projeto ZAP – Zed Attack Proxy) e SQLMap. Web UI (interface de usuário), assim como, mais plugins e resultados em formato PDF, são elementos que fazem parte do futuro plano de lançamento da ferramenta.
Então, o que você achou? Já teve alguma experiência com esta ferramenta? Deixe suas impressões nos comentários.
Leia também: Carreiras e Certificações de Segurança da Informação
Artigos Relacionados