Использование VEGA в Kali Linux

Vega – это платформа с открытым исходным кодом для тестирования системы безопасности веб-приложений. Vega может помочь в обнаружении уязвимостей типа SQL Injections и Cross-Site Scripting (XSS), неумышленно обнародованной важной информации и прочих уязвимостей.

1. Как открыть

A. GUI-метод

Application → Kali Linux → Information gathering → Web Vulnerability Scanners → vega

B. Отройте Terminal (Терминал), напечатайте vega и нажмите enter (ввод)

2. Перейдите в Scan → Start New Scan (Нажмите на эту опцию)

3. Введите целевой URL и нажмите на next (далее)

4. В окне Select Modules (Выбор модулей) выберите модули, которые вы хотите запустить. Например, если вы хотите запустить только XSS Injection, то просто поставьте галочку напротив этой надписи и уберите галочки напротив остальных. Затем нажмите next (далее).

5. Здесь вы можете настроить cookie-файлы и проверку подлинности личности. Я пропускаю этот шаг, потому что не нуждаюсь в этом.

6. Нажмите на Finish (Завершить). После нажатия начнется сканирование.

7. После завершения сканирования вы увидите результаты, как на изображении. Если вы заполучили результаты типа High alert (Повышенная опасность), то это означает, что вы обнаружили уязвимости у вашей цели. Если же нет, то значит, что цель не имеет уязвимостей.

8. Просто перейдите к scan alert (просканировать сигналы об опасности) и выберите уязвимость для получения информации. После выбора вы увидите информацию о выбранных объектах. Здесь мы выбрали ‘Possible SQL Injection → /products/details’. Мы можем увидеть, что это уязвимость типа SQL Injection. Можно посмотреть данные о ресурсе и методе. Если нужно больше информации, просто нажмите на ‘GET /products/details’ под надписью REQUEST (Запрос).

9. Это окно Request (Запрос). Здесь мы можем посмотреть хост, метод и т.д., а также ответ. На вкладке response (ответ) мы можем наблюдать ошибку sql error.

10. Если вы хотите проверить является ли это уязвимостью типа sql vulnerability, просто введите ваш url в адресную строку.