Proyecto Python para uso de APIs de herramientas de seguridad
Este proyecto es desarrollado con el objetivo de prototipar un Framework para realizar pruebas de penetración sobre aplicaciones web con el objetivo de detectar vulnerabilidades y almacenar las alertas en una base de datos.
Se debe tener instalado OWASP ZAP en la maquina donde se va a desplegar.
Para la ejecución de la app en docker, se debe descargar el tar.gz e incluirse en la carpeta apps/ del proyecto.
Descargar o clonar el repositorio y ejecutar el siguiente comando:
$ git clone https://github.com/dgutierrez11/pentesting-tools-project.git
Se debe crear y configurar el archivo configuration.ini con la información de conexión de base de datos y la información de aplicación web objetivo y la llave de conexión que se obtiene del OWASP ZAP en > Tools -> Options -> API
ZAP requiere de una clave de API para ejecutar las acciones específicas del API REST. La clave de API se utiliza para evitar que sitios maliciosos accedan a las API de ZAP.
Ejemplo del archivo de configuración:
[DATABASE]
host=ip
database=database name
user=user
password=pass
port=port
[APP]
target=url to attack
zapkey=Zap key
Después de configurar la aplicación se instala la aplicación ejecutando el siguiente comando:
$ python3 setup.py install
Para ejecutar la aplicación se debe ejecutar el siguiente comando:
$ exec-pentesting-tools
Para ejecutar el proyecto en un ambiente virtual se debe parar en la raíz del proyecto y ejecutar los siguientes comandos:
$ sources venv/bin/activate
$ python3 setup.py
$ exec-pentesting-tools
Se requiere tener instalado Docker
Para instalar y ejecutar la aplicación en ambiente dockerizado se deben ejecutar las siguientes instrucciones:
$ sudo docker build -t cbr-pentesting .
$ sudo docker run -rm --network=host -h ipaddress-project pentesting-tools-project
Se debe configurar la red en modo host