PCE-Forum

Hi PCEler,

ich bin auf der Suche nach etwas ähnlichem wie "Nessus" ein PenTest-Tool welches Schwächen in Webserver/Web-Services aufzeigt. Allerdings ist das eher das größere Geschütz, was für meine Zwecke ein wenig überdimensioniert scheint.

Am liebsten was Webbasiertes was ich iwo hinter einem VPN online ablegen kann. Ziel ist es, wenn ich Server konfiguriere und neue Lücken in Apache/NginX aufkommen diese mit der entsprechenden Stufe angezeigt werden, sodass ich das dann beheben kann.

Am liebsten Open Source/Free da ich keine mehrere Tausend EURO für eine Lizenz ausgeben wollte.

Wäre hier ggf. OpenVAS und Co (mapWoc) eine Alternative? Was verwendet ihr, wenn ihr sowas benötigt? Danke für alle Tipps im Voraus.

MFG

Du solltest nach einem bestimmten Service suchen. Z.B. eine Webseite. Einen super-generischen Pentest kenne ich persönlich nicht.

Um eine Webseite zu testen, würde ich sowas mal ausprobieren
https://www.tutorialspoint.com/kali_lin ... esting.htm

Da werden die klassischen Sicherheitslücken wir SQL-Injections usw. geprüft.

Ansonsten empfehle ich OWASP Top Ten. Das sind die meistverbreitesten Sicherheitslücken
https://owasp.org/www-project-top-ten/

Danke dir, das schaue ich mir mal die kommenden Tage an, wenn ich wieder etwas mehr Zeit habe.

Und bist Du schon weitergekommen?

Leider nein, bzw. ich habe meine notwendigen Lücken erstmal gefixt. Das OpenSourcePenTestTool-Projekt liegt aber aus zeitlichen Mangel gerade wieder auf Eis.

Ist das eine Eigenentwicklung? Wenn nein, dann halte die Software auf dem laufenden Stand. Dann machen die anderen die Pentests für dich

Nein es ist keine Eigenentwicklung. Was ich damit sagen wollte, dass ich das Thema aktuell nicht in dem Umfang weiter verfolgen kann wie ich es initial angestrebt hatte. Dank neusten Ereignissen auf Arbeit sind die Prioritäten nun anders angesetzt und es gibt wichtigeres als mit einem PenTest herumzuspielen.

Ich kenne dieses Leid