Menguji Keamanan Web dan Server menggunakan Sn1per

Menguji Keamanan Web dan Server menggunakan Sn1per. Ada beberapa tool atau framework yang akan sangat membantu dalam proses pentest. Salahsatunya adalah Sn1per, framework yang dilengkapi dengan modul scanner aplikasi web.

Framework ini tersedia dalam versi Community Edition (open source) dan juga versi Professional. Yang akan kita bahas disini adalah versi Community Edition yang sebenarnya juga memiliki fitur yang cukup canggih. Fitur tersebut antara lain adalah automated basic recon (whois, ping, DNS, etc.), port scanning via nmap, brute force subdomain, integrasi dengan Burp Suite (fitur ini hanya tersedia bagi pengguna Burpsuite Professional), maupun modul autopwn.

Berikut fitur yang tersedia di Sn1per Community Edition
  •  Automatically collects basic recon (ie. whois, ping, DNS, etc.)
  •  Automatically launches Google hacking queries against a target domain
  •  Automatically enumerates open ports via NMap port scanning
  •  Automatically exploit common vulnerabilities
  •  Automatically brute forces sub-domains, gathers DNS info and checks for zone transfers
  •  Automatically checks for sub-domain hijacking
  •  Automatically runs targeted NMap scripts against open ports
  •  Automatically runs targeted Metasploit scan and exploit modules
  •  Automatically scans all web applications for common vulnerabilities
  •  Automatically brute forces ALL open services
  •  Automatically test for anonymous FTP access
  •  Automatically runs WPScan, Arachni and Nikto for all web services
  •  Automatically enumerates NFS shares
  •  Automatically test for anonymous LDAP access
  •  Automatically enumerate SSL/TLS ciphers, protocols and vulnerabilities
  •  Automatically enumerate SNMP community strings, services and users
  •  Automatically list SMB users and shares, check for NULL sessions and exploit MS08-067
  •  Automatically tests for open X11 servers
  •  Performs high level enumeration of multiple hosts and subnets
  •  Automatically integrates with Metasploit Pro, MSFConsole and Zenmap for reporting
  •  Automatically gathers screenshots of all web sites
  •  Create individual workspaces to store all scan output
  •  Scheduled scans
  •  Slack API integration
  •  Hunter.io API integration
  •  OpenVAS API integration
  •  Burpsuite Professional 2.x integration
  •  Shodan API integration
  •  Censys API integration
  •  Metasploit integration
Install
Untuk pengguna Kali Linux, Debian, Ubuntu serta Parrot, sudah tersedia script installer yang memudahkan proses instalasi.
git clone https://github.com/1N3/Sn1per
cd Sn1per
sudo bash install.sh
Proses instalasi mungkin akan berjalan agak lama karena beberapa modul atau tool lain juga akan diunduh sebagai modul pelengkap Sn1per.

Atau, kalian bisa melakukan instalasi via docker.
wget https://raw.githubusercontent.com/1N3/Sn1per/master/Dockerfile
docker build -t sn1per .
docker run -it sn1per /bin/bash
atau
docker pull xerosecurity/sn1per
docker run -it xerosecurity/sn1per /bin/bash
Usage
Untuk penggunaan Sn1per, cukup jalankan command
sniper
Contoh penggunaan sn1per untuk melakukan scanning pada web target.



Kalian juga bisa mengintegrasikan sn1per dengan Burpsuite Professional untuk menjalankan mode webscan.


Untuk informasi lebih lanjut mengenai framework ini kalian bisa cek halaman github Sn1per.

Oke mungkin itu saja sharing kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.