PenTest.WS概要

PenTest.WSは、セキュリティ評価全体を通じてホスト、サービス、脆弱性、認証情報を体系化することで、ペネトレーションテスターのワークフローを効率化するように設計された包括的なウェブアプリケーションです。このプラットフォームは、偵察、エクスプロイト、レポート作成の各段階を支援する機能を提供し、セキュリティ専門家間の効率性とコラボレーションを向上させます。

主な機能

エンゲージメント管理：

PenTest.WSの中核には、個々のセキュリティ評価を表す「エンゲージメント」という概念があります。各エンゲージメント内で、テスターはIPアドレス、完全修飾ドメイン名、またはコンピュータ名で識別される対象を「ホスト」として定義できます。これらのホストに関連付けられる「サービス」は、テスト中に発見されたTCP/UDPポートに対応します。

自動化と偵察：

カスタマイズ可能なスキャンテンプレートを通じて偵察フェーズを強化します。プラットフォームの主な機能：

• 特定のターゲット向けのカスタムNmapコマンド定義
• NmapとMasscanのXML出力のインポートサポート
• サービスコマンドライブラリによる攻撃コマンドの効率的管理

状況認識と組織化：

「ボード」と「マトリックス」機能を提供：

• カスタムボードによるホストの分類と管理
• ホストとポートの包括的な概要表示
• オペレーティングシステム、ホストタイプ、フラグによるフィルタリング

発見事項とレポート作成：

包括的なレポート作成機能：

• 一般的な脆弱性のテンプレート作成と管理
• DOCXベースのカスタマイズ可能なレポートテンプレート
• 変数、ループ、条件文のサポート

コラボレーションと統合：

チーム作業を促進する機能：

• ユーザー管理とアクセス制御
• リアルタイムの同期と通知システム
• API、LDAP、SMTPによる外部システム統合

追加ツールとライブラリ：

補助ツール群：

• Echo Up - ターミナルインターフェースでのファイル作成
• CyberChef - データ操作ツール
• MSF Venom Builder - ペイロード生成

セキュリティとカスタマイズ：

セキュリティ機能とカスタマイズオプション：

• Google認証システムによる二要素認証
• 150以上のプログラミング言語のシンタックスハイライト
• 階層的なファイル構造のカスタマイズ