jueves, 9 de febrero de 2012

Destripando Dradis Framework

Compartir este artículo:

El pasado viernes nuestros amigos de Security By Default hablaron sobre la nueva version de Dradis Framework. Hacía ya varios meses que tenía constancia de la existencia de la herramienta, pero no fue hasta el pasado sábado cuando me dio por probarla por primera vez.

Hoy no hablaré de qué es Dradis ni para que sirve, os remito para ello al artículo de SbD, así que me centraré en mi experiencia con la aplicación.

Para la prueba utilicé Windows XP. Durante la instalación de Dradis se me instalaron también las dependencias de Ruby que necesita la herramienta para funcionar, ya que no tenía Ruby instalado en el equipo. Una vez instaladas, al levantar el servidor por primera vez me daba un problema porque no encontraba el archivo "Bundle". @etdsoft por Twitter me dió la solución (¡gracias!), faltaba el PATH de Ruby. Para añadirlo os dejo a continuación los pasos básicos:

Una vez actualizado el PATH podremos arrancar el servidor sin problemas.

Al arrancar la aplicación por primera vez se nos pedirá que indiquemos un usuario y contraseña. Una vez introducidos se nos abre un panel de control con tres apartados importantes, a la izquierda el listado de "proyectos" que carguemos de los diferentes reportes recuperados de Nessus, W3af, etc., y en las otras ventanas el resumen de las vulnerabilidades y demás curiosidades que hayan encontrado estas herramientas.

Aproveché un antiguo reporte de Nessus que tenía a mano y lo cargué en Dradis. Cargar reportes es muy sencillo, basta con ir al upload manager, seleccionar la herramienta a la que pertenece el reporte y buscarlo en el equipo:

Una vez ha finalizado la carga, si volvemos a la ventana principal veremos los datos recogidos en la auditoría con Nessus:

La forma en que Dradis presenta los datos de este reporte es muy similar a como lo hace Nessus, por lo que acumular todos los reportes de las distintas herramientas en Dradis es una auténtica gozada ya que nos facilitará la labor de almacenamiento de la información (yo siempre tengo ficheros txt desperdigados por el equipo). Sin embargo echo en falta algo de color, un poco de rojo, ámbar y verde para indicar la gravedad de las vulnerabilidades, como lo hace el propio Nessus por ejemplo, sería muy útil.

Voy a empezar a usarla a partir de ahora y olvidarme de los ficheros de texto perdidos. Prometo hacer un artículo más completo cuando la haya destripado a fondo.

Saludos!

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...