Dradis, para el que no lo conozca, consiste en una herramienta que permite el compartir y recopilar la información que se va obteniendo durante auditorías de seguridad en sistemas y en aplicaciones web, así como en tests de intrusión.
A modo de repositorio, nos permite además importar ficheros de herramientas tan conocidas como Nessus, Nikto, Nmap, Burp, Nexpose, OpenVAS, w3af, ZAProxy, NSS...y un largo etc, ya que permite la creación de más plugins para importar cualquier tipo de información y organizarla dentro del proyecto basándose en la salida de las pruebas realizadas.
Programada en Ruby, esta herramienta fue presentada por primera vez en Defcon 17 por el español Daniel Gómez "etd". La versión 1.0 de Dradis se publicó en 2007, llegando actualmente a la versión 2.9 que acaba de ser anunciada, con la inclusión de los plugins para importar información obtenida de las herramientas ZAProxy y el Retina Network Security Scanner, y la actualización de los plugins de Nessus, Nikto y Nmap.
La información se organiza y registra vía un interfaz web tras la instalación, en la cual se comienza con la creación de carpetas o nodos, incluyendo posteriormente los sistemas y anotaciones pertinentes, apoyándose en la información obtenida de herramientas y así organizar en un mismo punto todo lo que se vaya avanzando durante las pruebas de seguridad. La aplicación no distingue a los usuarios (se accede con un nombre de usuario pero no se registra previamente en el sistema), valiéndose únicamente de una contraseña establecida a modo de servidor para consultar la información que se encuentre disponible y volcada en los proyectos.
El motor de importación de resultados de herramientas, analiza las salidas según el tipo de herramienta y los procesa, para incluir dentro del framework toda la información, separándola por sistema y puerto.
Gracias a Dradis, podremos olvidarnos de recopilar información en simples .txt o .doc sin formato, teniendo toda la información centralizada en un punto, en la que además se pueda trabajar de forma colaborativa por un equipo de personas.
Está disponible para todas las plataformas, con multitud de documentación que podréis consultar en su web.
2 comments :
Que me dices de Alienvault? Sirven para lo mismo?
Saludos.-
lo malo es que esta version dejo de funcionar openvas, funciona solo para la version pro (minimo 3 licencias por un año), alguna idea para volver operar openvas e importar a dradis?
Publicar un comentario