Goby est une solution de cybersécurité avancée exploitant la cartographie du cyberespace pour construire un inventaire détaillé des actifs réseau, facilitant ainsi la gestion des incidents et la remédiation des failles.

Cet outil propose une identification exhaustive des actifs grâce à plus de 100 000 règles de reconnaissance, capables de détecter et catégoriser automatiquement les équipements matériels et les applications logicielles présentes sur le réseau. Il assure une analyse rapide et peu intrusive des protocoles associés aux ports, tout en intégrant une base de vulnérabilités critique mise à jour quotidiennement, couvrant des cibles comme Weblogic ou Tomcat. Goby permet également la création de preuves de concept personnalisées pour une réponse continue aux menaces.

Questions fréquentes

Définition d'un actif

Un actif désigne toute entité analysable, telle que les postes de travail, serveurs, périphériques réseau, machines virtuelles ou conteneurs.

Différence entre actif et adresse IP

Une adresse IP constitue généralement un attribut d'un actif.

Fonctionnalités

Scan d'actifs

Découverte automatique des adresses IP actives dans l'espace cible.

Analyse des ports

Couverture de près de 300 ports courants avec des groupes adaptables pour optimiser les résultats.

Identification des protocoles

Plus de 200 moteurs de reconnaissance de protocoles (réseau, bases de données, IoT, ICS) permettant une analyse légère et rapide.

Détection des produits

Base de plus de 100 000 règles pour classifier matériels et systèmes logiciels.

Exploration Web

Collecte d'informations clés comme l'IP, le port, le serveur et le titre des sites web.

Scan de vulnérabilités

Moteurs de détection ciblant les failles critiques telles que celles de Weblogic ou Tomcat.

Captures d'écran des sites

Acquisition et visualisation des captures d'écran des serveurs web.

Scan via proxy

Utilisation d'un proxy SOCKS5 pour accéder au réseau interne. Les modes Pcap (pour protocoles et vulnérabilités) et Socket (pour ports, protocoles et vulnérabilités, plus lent) sont disponibles.

Analyse de domaines

Résolution de noms de domaine vers IP et découverte de sous-domaines, incluant la détection AXFR, le fuzzing de dictionnaires et l'intégration avec FOFA.

Tests approfondis

Identification des actifs sur ports ou systèmes non standard pour une analyse poussée en contexte opérationnel. Activation via les paramètres avancés.

Architecture client-serveur

Distinction des modules de scan et d'affichage pour des services distants, configurable avec hôte, port et identifiants.

Collecte d'actifs graphique (IP Lib)

Outil visuel pour étendre et affiner la collecte d'actifs à partir d'une cible initiale, accessible depuis la barre latérale de Goby.

Vulnérabilités

Personnalisation des PoC

Flexibilité accrue dans la détection des vulnérabilités.

Dictionnaires personnalisés

Facilitation des attaques par force brute.

Exploitation de vulnérabilités

Sessions distantes

Gestion directe des shells après exploitation réussie sans serveur supplémentaire.

Rapports

Analyse des données

Visualisation post-scan des actifs logiciels et matériels, des risques liés aux services et systèmes, des ports ouverts et des cartes réseau.

Exportation

Exportation en PDF pour les rapports complets, et en Excel pour les listes d'actifs (IP, ports, protocoles, adresses MAC, applications) et de vulnérabilités (détails des failles et adresses à risque).

AWVS

Mode opératoire

1. Le site web entier est scanné en suivant tous les liens et le fichier robots.txt pour mapper la structure et détailler les fichiers.
2. Une phase de test automatique simule des attaques sur chaque page découverte.
3. Les vulnérabilités détectées sont signalées avec des informations de réparation.
4. Les résultats sont sauvegardés pour comparaison et génération de rapports professionnels.

Fonctionnalités

1.WebScanner : scan complet pour les vulnérabilités web.
2.Site Crawler : exploration de l'arborescence du site.
3.Target Finder : scan des ports pour localiser les serveurs web.
4.Subdomain Scanner : découverte de sous-domaines via DNS.
5.Blind SQL Injector : outil d'injection SQL à l'aveugle.
6.HTTP Editor : éditeur de paquets HTTP.
7.HTTP Sniffer : analyseur de trafic HTTP.
8.HTTP Fuzzer : outil de fuzzing.
9.Authentication Tester : test de rupture d'authentification web.
10.Web Service Scanner : analyseur de services web.
11.Web Service Editor : éditeur de services web.

Caractéristiques

1. Analyseur de scripts client automatique pour les applications Ajax et Web 2.0.
2. Tests avancés d'injection SQL et de cross-site scripting.
3. Outils de test de pénétration comme HTTP Editor et HTTP Fuzzer.
4. Enregistreur macro visuel pour tester les formulaires et zones protégées.
5. Support des pages avec CAPTCHA et authentification à deux facteurs.
6. Rapports détaillés, incluant la conformité PCI VISA.
7. Scanner multi-thread haute performance.
8. Détection intelligente des types de serveurs et langages d'application.
9. Analyse des contenus Flash, SOAP et AJAX.
10. Scan des ports et vérification des services réseau.
11. Exportation des fichiers de vulnérabilités.

Nessus

Pour démarrer le service : systemctl start nessusd
Pour arrêter le service : systemctl stop nessusd

Interface web accessible via https://192.168.245.129:8834/. Nessus est largement utilisé pour le scan et l'analyse des vulnérabilités système.

Caractéristiques

- Service de scan complet avec mise à jour régulière de la base de vulnérabilités.
- Analyse à distance ou locale avec adaptation aux ressources système.
- Personnalisation des plugins et utilisation de NASL pour les tests de sécurité.
- Support complet du protocole SSL.

Principe de fonctionnement

Nessus effectue un scan actif du réseau cible pour identifier les failles et générer des rapports.

• Sélection des cibles : supporte les adresses IP, noms de domaine ou plages CIDR.
• Configuration du scan : choix parmi des stratégies prédéfinies ou personnalisées.
• Détection des vulnérabilités : utilisation de plugins internes couvrant les systèmes d'exploitation, applications web, bases de données, etc.
• Génération de rapports : détails des vulnérabilités avec niveaux de risque et recommandations.
• Remédiation : actions correctives basées sur les rapports pour renforcer la sécurité.

Utilisation

1. Installation et configuration : télécharger et configurer via l'interface web ou la ligne de commande.
2. Sélection des cibles : spécifier les IP, domaines ou plages CIDR.
3. Choix de la stratégie : utiliser des stratégies par défaut ou personnalisées.
4. Lancement du scan : exécution du scan actif.
5. Analyse des rapports : consultation des détails et recommandations.
6. Remédiation : application des correctifs identifiés.

AppScan

AppScan, développé par HCL (anciennement IBM), est un outil de test de sécurité pour les applications web, API et mobiles. Il intègre des moteurs de scan statique, dynamique, interactif et open source, déployables à toutes les étapes du cycle de développement. Utilisant l'intelligence artificielle et l'apprentissage automatique, il aide à détecter et corriger les failles en appliquant les meilleures pratiques de sécurité. La suite comprend AppScan Standard (test dynamique), AppScan Source (test statique), AppScan Enterprise (test à grande échelle) et AppScan on Cloud (solution cloud).

Pour les applications web, il identifie automatiquement les vulnérabilités courantes comme XSS ou l'injection SQL. Pour les applications mobiles, il analyse le code binaire. Son fonctionnement repose sur une phase d'exploration utilisant des technologies de crawling pour découvrir la structure du site, suivie d'une phase de test avec des règles de détection appliquées à chaque paramètre. Un tableau de bord de gestion des risques offre une visibilité étendue sur les tests et la conformité.

Flux de travail

Phase d'exploration

AppScan simule un utilisateur en cliquant sur les liens et remplissant les formulaires pour cartographier le site. Il analyse les réponses pour identifier les indicateurs de vulnérabilités et génère des tests spécifiques. Des requêtes malformées sont envoyées pour caractériser les réponses d'erreur, améliorant ainsi la précision des tests.

Phase de test

Des milliers de tests personnalisés sont envoyés, avec des règles de validation pour détecter et évaluer les risques de sécurité dans les réponses de l'application.

Phase de scan

Cette phase itérative découvre de nouveaux liens et risques potentiels. Après plusieurs itérations (configurable par l'utilisateur, quatre par défaut), le scan s'arrête et les résultats complets sont disponibles.