2.9 KiB
Strona automatycznie zmigrowana z systemu Eduwiki z wykorzystaniem Pandoc
Zespół
|| Imię i nazwisko |||| Numer indeksu |||| Zakres prac || || Michał Pawlaczyk |||| 439459 |||| frontend (React, Redux, typescript), testy jednostkowe frontendu, wizualizacja danych || || Dominika Pawlaczyk |||| 153131 |||| backend(django, python), testy jednostkowe, architektura i środowisko aplikacji, tworzenie plików raportów (pdf, excel)|| || Karolina Słonka|||| 441445 |||| backend(django, python), bazy danych, unifikacja danych, layout raportów, UX designer (frontend) ||
Tytuł
sarenka
Opis
Celem projektu jest stworzenie aplikacji umożliwiającej pobieranie danych z najpopularniejszych wyszukiwarek internetowych zorientowanych na gromadzenie danych o użytych technologiach. Pula użytych serwisów jest skończona, ponieważ praktycznie zawsze jest wymagane konto użytkownika i indywidualny klucz do APi trzecich serwisów. Często z poziomu blackbox można wykryć wersję zainstalowanego frameworka czy biblioteki wykorzystanych do zbudowania. Aplikacja skupia się na wyszukiwaniu technologii, jej wersji i podatności w kodach CVE.
Aktorzy
- Programista
- Analityk podatności
- Pentester
User stories
- Jako programista chcę zainstalować lokalnie aplikację (architektura podobna do Nesusa), podać adres dewelopowanej aplikacji (np. w intranecie) i dostać raport z podatnościami technologii, które udało się wykryć za pomocą narzędzia "sarenka"
- Jako programista chcę mieć możliwość zainstalowania oprogramowania bez dockera.
- Jako analityk podatności bezpieczeństwa chcę wykryć czy z poziomu blackboxa możliwe jest wykrycie wersji konkretnego oprogramowania/biblioteki
- Jako analityk podatności na podstawie kodu CVE chcę wiedzieć czy jestem w stanie zdalnie wykryć oprogramowanie w wersji podatnej, oraz automatycznie wyszukać znane exploity
- Jako pentester wykonujący rekonesans pasywny chcę wiedzieć jakie technologie używa klient, wiedzieć o wszystkich wersjach jakie zostały wykryte. W raporcie otrzymać dane o znanych podstanosciach - kody CVE oraz wektorach ataku CPE oraz skali problemu. Chcę dostać listę publicznie exploitów z frameworka Metasploit. Chcę zobaczyć banery nmap.
Technologie
- Python
- Django
- React
- Redux
- TypeScript
- Atomic Design
- Docker?