Crea informes de vulnerabilidades en minutos con Simple Vulnerability Manager

Los profesionales que en algún momento nos hemos dedicado a escanear vulnerabilidades sabemos lo tediosa (y en ocasiones larga) que puede ser la etapa de la documentación.  Hay que reflejar todo el trabajo hecho antes (que no es poco) de forma que un ser humano medio entienda los conceptos y procurando que esté todo bien estructurado: activos, vulnerabilidades, recursos afectados y remediaciones a aplicar.

Simple Vunlnerability Manager es un programa creado por expertos (Ulises Cuñe@Ulises2K) para pentesters que no tienen mucho tiempo y deben desplegar informes con rapidez. Lo mejor es que podemos enfocar el informe para técnicos o tomadores de decisiones, así que todas las partes interesadas podrán comprender el mensaje.

¿Qué te ofrece Simple Vulnerability Manager?

• Es posible generar diferentes tipos de informes de forma automática con las vulnerabilidades detectadas.
• Ofrece muchas bases de conocimiento acerca de scanners web, escaneo de servicios, escaneo estático o escaneo mobile.
• Hay decenas de plantillas de vulnerabilidades incluídas, además son editables.
• Ofrece la mayor parte de la información en castellano.

Principales características

• Base de datos cifrada e independiente
• Protección de contraseña para el programa
• Los escaneos de vulnerabilidades se lanzan con 1 clic. Se puede editar los scripts para adaptarlos a nuevos métodos de escaneo

Suites de escaneo de vulnerabilidades soportadas

• Qualys​
• Nessus
• Openvas
• Nmap

Aplicaciones de escaneo web soportadas

• Acunetix​
• Netsparker
• Arachni
• Burpsuite
• Supports Tool for Android (Version Pro)
• Apktool​
• Enjarify
• AndroBug_Framework
• Qark
• MobSF
• JD-GUI

Herramientas de información

• Recon-NG
• EyeWitness

Informes

• De tipo técnico, ejecutivo o genérico
• Compatibles con Word y Excel en cualquier versión
• Base de datos de vulnerabilidades incluída, pudiendo crearse otras nuevas. Incluye además base de conocimiento.
• Se puede hacer portable sobre Windows (todos), Linux o Mac OS X

Usando Simple Vulnerability Manager

Primero crearemos un nuevo proyecto, rellenando todos los datos que consideremos de utilidad en la plantilla del mismo: nombre, asunto de email, IPs, fechas y notas.

Podremos incluso tomar una instantánea del servicio web en cuestión pulsando el botón correspondiente sin tener que acceder.

Escogeremos la ruta de trabajo para guardar la documentación.

En el apartado de configuración se nos permite personalizar diferentes aspectos del programa, desde nuestro nombre predefinido como pentester hasta la ruta de cada una de las suites de pentesting a utilizar, de donde el programa tomará los archivos binarios.

Ahora es momento de escoger las vulnerabilidades para el proyecto en cuestión, algo que podemos analizar en tiempo real y producir desde el programa, aunque también puede hacerse desde los botones de función de la ventana principal.

Tenemos un amplio listado a nuestra disposición para diferentes sistemas, pudiendo escoger los campos a mostrar y si ha/n sido solucionada/s alguna de ellas.

Creando el informe

Para comenzar la creación del informe abriremos el menú correspondiente:

De nuevo personalizaremos los campos y descripciones, además de escoger el tipo de informe, ya que cada uno está construido de forma diferente. Escogeremos además otras propiedades como la plantilla a utilizar, estilo de tablas y colores.

Tras pulsar el botón superior tendremos un informe listo en pocos segundos. (9)

Descarga la herramienta en el siguiente enlace.