Como funciona o GoLismero e quais os benefícios. E veja como você pode instalá-lo!

Venho aqui falar de uma poderosa ferramenta de varredura de vulnerabilidades de aplicativos da Web. A bem da verdade, eu nem considero muito como uma simples ferramenta, mas sim, um framework fácil de usar, com diversas integrações e, para variar, gratuito! Estou falando do GoLismero! Mas você, sabe como funciona o GoLismero?

Faça gratuitamente o Curso Online Ethical Hacking Overview.

Então, fique ligado aqui em nosso artigo que eu vou mostrar alguns detalhes sobre o GoLismero, como ele funciona e algumas dicas extras. Vamos lá?

Funções do GoLismero

GoLismero é um software livre, criado para realizar testes de segurança, isto é, voltado para segurança na Web, mas se torna facilmente expandido para outros tipos de varreduras e funciona executando testes.

Suas características mais interessantes são:

• Bom desempenho quando comparado com outras estruturas escritas em Python, assim como, com outras linguagens de script;
• Muito fácil de usar, seja como for o nível do saber;
• O desenvolvimento de plugins é extremamente simples;
• Integração com padrões: CWE, CVE e OWASP;
• Projetado para implantação de cluster (observar se disponível).

Ele pode executar seus próprios testes e fazer a gestão de muitas ferramentas de segurança bem conhecidas, como por exemplo: OpenVas, Wfuzz, SQLMap, DNS recon, analisador de robôs, etc.

Desse modo, ele obtém resultados, feedback para o restante das ferramentas e então realiza a junção desses resultados. Aliás, tudo isso de modo automático.

Em suma, se usa o GoLismero para mapear aplicativos da web e encontrar vulnerabilidades.

Esta ferramenta foi projetada para ser usada por testadores de penetração e por equipes vermelhas*, com efeito de ajudar a encontrar falhas na aplicação da web, reunindo várias outras ferramentas de teste de intrusão, também conhecida como pentest (contração do temor penetration testing).

*O termo “equipe vermelha” (Red Team), muito utilizado nos Estados Unidos para definir um grupo independente que desafia uma organização a melhorar sua eficácia, assume um papel ou um ponto de vista contraditório. Assim também, muito eficaz para abordar certos problemas.

Portanto, com o GoLismero, você faz uma economia de tempo absurda, visto que acaba com a execução de outras ferramentas individualmente.

GRÁTIS! Aprenda tudo sobre programação segura com o Curso Online Secure Programming Overview.

Benefícios do GoLismero

Só para ilustrar, veja abaixo oito vantagens que listamos para você.

• Software grátis: a comunidade GoLismero pode ajudar com suas ideias e melhorar o GoLismero. Dessa forma, atualizações são realizadas com frequência, contendo novas funções.

• Independência de plataforma real: testado no Windows, Linux, *BSD e OS X.

• Nenhuma dependência de biblioteca nativa: todo o framework foi escrito em Python puro.

• Boa performance: comparado com outras estruturas escritas em Python e outras linguagens de script, o GoLismero possui o melhor desempenho.

• Usabilidade: com poucos comandos, ou decerto até mesmo apenas um, você pode iniciar varreduras e reportar vulnerabilidades.

• Desenvolvimento de plugins: novos plugins podem ser desenvolvidos usando o IDE da GoLismero que são baseados na nuvem.

• Unifica os resultados: o framework também coleta e unifica os resultados de ferramentas bem conhecidas: sqlmap, xsser, openvas, dnsrecon, theharvester.

• Integração com padrões: CWE, CVE, OWASP e muitos outros.

Como se instala?

No Linux, o GoLismero se instala usando os seguintes comandos:

#sudo bash

#apt-get install python2.7 python2.7-dev python-pip python-docutils git perl nmap sslscan

#cd /opt

#git clone https://github.com/golismero/golismero.git

#cd golismero

#pip install -r requirements.txt

#pip install -r requirements_unix.txt

#ln -s /opt/golismero/golismero.py /usr/bin/golismero

#exit

Já para a instalá-lo em outros sistemas operacionais, você confere os detalhes aqui no Githut.

GRÁTIS! Curso Online ISO 27001 Overview.

GoLismero Funcionando

Agora, vamos ver a ferramenta em ação!

Os comandos importantes do GoLismero incluem:

• SCAN
• RESCAN
• PROFILES
• PLUGINS
• INFO
• REPORT
• DUMP
• LOAD
• IMPORT

O comando SCAN trata-se de uma ordem usada para localizar as vulnerabilidades no aplicativo da Web de destino. Por exemplo, o seguinte comando se usa para encontrar falhas no site de destino.

#golismero scan

A auditoria pode receber um nome usando o seguinte comando:

#golismero scan –audit-name

Da mesma forma, o nome do arquivo e a sua extensão também acabam sendo fornecidos para informar a ferramenta para salvar o relatório no formato desejado usando o seguinte comando:

#golismero scan –audit-name

O GoLismero pode ser unido a outras ferramentas de segurança, por exemplo: Open Vas, DNS recon e Nikto. Essa integração permite mesclar os relatórios dessas ferramentas em um único relatório.

O comando IMPORT é usado para importar os resultados de outras ferramentas. Ou seja, para importar os resultados da ferramenta Nikto para o GoLismero, o comando a seguir pode ser usado e os resultados são guardados de modo automático em um arquivo de banco de dados:

#python golismero.py import -i nikto_output.csv -i nmap_output.xml -db database.db

Leia também: Carreiras e Certificações de Segurança da Informação.

Próximos recursos:

Os próximos recursos do GoLismero incluem a junção da ferramenta com outras ferramentas de segurança, como Metasploit, ZAP (faça o download do projeto ZAP – Zed Attack Proxy) e SQLMap. Web UI (interface de usuário), assim como, mais plugins e resultados em formato PDF, são elementos que fazem parte do futuro plano de lançamento da ferramenta.

Baixe a ferramenta clicando daqui.

Então, o que você achou? Já teve alguma experiência com esta ferramenta de fato?

Deixe suas impressões nos comentários conforme o seu uso!

Afinal, nós queremos saber quais foram os efeitos que ela causou em você a fim de te conhecer melhor.

E se acaso ficou alguma questão, deixe o seu ponto de vista. Que logo após, nós, da PMG Academy, vamos te responder o mais breve.

Até mais!