DISCLAIMER

이 소프트웨어는 자동화된 침투 테스트 및 정보 수집을 위해 제작되었습니다. 이 소프트웨어를 책임감 있고 윤리적인 방식으로 사용해야 합니다. 시스템 소유자 또는 관리자의 허락이나 동의를 얻지 않은 경우 시스템을 타겟팅하거나 애플리케이션을 공격해서는 안 됩니다. 기여자는 불법적인 사용에 대해 책임을 지지 않습니다.

OWASP Nettacker 는 사이버 보안 전문가와 윤리적 해커가 재해석, 취약점 평가 및 네트워크 보안 감사 (reconnaissance, vulnerability assessments, and network security audits) 를 효율적으로 수행할 수 있도록 설계된 오픈 소스 기반 자동 침투 테스트 및 정보 수집 프레임워크입니다. Nettacker 는 포트 스캔, 서비스 감지, 서브도메인 열거, 네트워크 매핑, 취약점 스캔, 인증서 강제로 테스트 (credential brute-force testing) 와 같은 작업을 자동화하여 네트워크, 웹 애플리케이션, IoT 기기 및 API 의 약점을 식별하는 강력한 도구를 제공합니다.

모듈형 아키텍처- 포트 스캔, 디렉터리 발견, 서브도메인 열거, 취약점 검사 또는 인증서 강제로 테스트와 같은 각 작업은 별도의 모듈로 구현되어 실행할 것을 제어합니다.멀티 프로토콜 및 멀티 스레딩 스캐닝- HTTP/HTTPS, FTP, SSH, SMB, SMTP, ICMP, TELNET, XML-RPC 를 지원하며 병렬 스캔을 통해 속도를 높입니다.종합적인 출력- HTML, JSON, CSV 및 일반 텍스트로 리포트를 내보냅니다.내장 데이터베이스 및 드리프트 감지- 과거 스캔을 데이터베이스에 저장하여 현재 결과와 비교하기 쉽게 검색하고 비교할 수 있습니다: CI/CD 파이프라인에서 새로운 호스트, 열린 포트 또는 취약점을 감지하는 데 유용합니다.CLI, REST API 및 웹 UI- 프로그램적 통합과 스캔 정의 및 결과 확인을 위한 사용자 친화적인 웹 인터페이스를 제공합니다.회피 기법- 방화벽 또는 IDS 시스템의 감지를 줄이기 위해 설정 가능한 지연 시간, 프록시 지원 및 랜덤화된 사용자 에이전트를 지원합니다.유연한 타겟- 단일 IPv4, IP 범위, CIDR 블록, 도메인 이름 및 전체 HTTP/HTTPS URL 을 받습니다. 타겟은 하나의 명령어에서 혼합되거나 -l/--targets-list 플래그를 사용하여 파일에서 로드할 수 있습니다.

침투 테스트- 재해석, 구성 오류 검사, 서비스 발견 및 취약점 스캔을 자동화하여 효율적이고 반복 가능한 침투 테스트 워크플로우를 지원합니다.재해석 및 취약점 평가- 라이브 호스트, 열린 포트, 서비스, 기본 인증서 및 디렉터리를 매핑한 다음 내장 또는 커스텀 워드리스트를 사용하여 인증서 강제로 테스트 또는 푸징을 수행합니다.공격 표면 매핑- 내장 열거 모듈을 사용하여 노출된 호스트, 포트, 서브도메인 및 서비스를 빠르게 발견하여 내부 및 외부 자산에 이상적입니다.버그 보너리 재해석- 서브도메인 열거, 디렉터리 강제로 테스트 및 기본 인증서 검사와 같은 일반적인 재해석 작업을 자동화하고 확장하여 타겟을 찾는 속도를 높입니다.네트워크 취약점 스캐닝- 모듈형 멀티 스레딩 접근 방식을 사용하여 대규모 네트워크 평가에서 IP, IP 범위 또는 전체 CIDR 블록 또는 조직의 모든 서브도메인을 병렬로 효율적으로 스캔합니다.스카우 IT 및 자산 발견- 역사적 스캔 데이터와 드리프트 감지를 사용하여 관리되지 않거나 잊혀진 호스트, 열린 포트/서비스 및 시간이 지남에 따라 나타나는 서브도메인을 찾아냅니다.CI/CD 및 컴플라이언스 모니터링- Nettacker 를 파이프라인에 통합하여 저장된 스캔 기록과 비교 기능을 통해 인프라 변경 사항을 추적하고 새로운 취약점을 감지합니다.

OWASP Nettacker 프로젝트 홈 페이지: https://owasp.org/nettacker

문서화: https://nettacker.readthedocs.io

Slack: #project-nettacker on https://owasp.slack.com

설치: https://nettacker.readthedocs.io/en/latest/Installation

사용법: https://nettacker.readthedocs.io/en/latest/Usage

GitHub 저장소: https://github.com/OWASP/Nettacker

Docker 이미지: https://hub.docker.com/r/owasp/nettacker

Dockerfile 사용 방법: https://nettacker.readthedocs.io/en/latest/Installation/#install-nettacker-using-docker

OpenHub: https://www.openhub.net/p/OWASP-Nettacker

기부: https://owasp.org/donate/?reponame=www-project-nettacker&title=OWASP+Nettacker
더 읽기: https://www.secologist.com/open-source-projects

단일 IP 주소에 대한 기본 포트 스캔:

$ docker run owasp/nettacker -i 192.168.0.1 -m port_scan

포트 22 가 열린 모든 장치를 검색하는 전체 C 클래스 네트워크를 스캔:

...

$ docker-compose up

• CLI 에서 표시된 API 키를 사용하여 웹 GUI 로 로그인합니다.
• 웹 GUI 는 (https://localhost:5000) 또는 https://nettacker-api.z3r0d4y.com:5000/ (로컬 호스트를 지시) 에서 접근 가능합니다.
• 로컬 데이터베이스는 .nettacker/data/nettacker.db입니다
  (sqlite). - 기본 결과 경로는 .nettacker/data/results

docker-compose

는 nettacker 폴더를 공유하므로 docker-compose down 후에도 데이터를 잃지 않습니다.

• API 키를 보려면 다음을 실행할 수도 있습니다:
  docker logs nettacker_nettacker

. - 더 자세한 내용 및 Docker 없이 설치: https://nettacker.readthedocs.io/en/latest/Installation

OWASP Nettacker 는 협력과 공유 지식의 원칙에 기반한 오픈 소스 프로젝트입니다. 활기찬 OWASP 커뮤니티가 개발에 기여하여 이 도구가 최신 보안 관행과 일치하도록 최신 상태로 유지되고 적응 가능하게 합니다. 모든 멋진 기여자들에게 감사드립니다! 🚀

OWASP Nettacker 를 보안 워크플로우를 위해 채택하고 의존하는 조직, 커뮤니티 프로젝트 및 개인들에게 감사드립니다.

조직 또는 프로젝트에서 OWASP Nettacker 를 사용 중이시라면 저희의 소식을 듣고 싶습니다! ADOPTERS.md 파일에 세부 사항을 추가하기 위해 풀 리퀘스트를 제출하거나 GitHub 이슈를 통해 저희에게 연락해 주세요. Nettacker 가 보안 커뮤니티에서 어떻게 변화를 만들어내고 있는지 보여드리겠습니다!

세부 사항은 ADOPTERS.md 를 확인하세요.

• ☀️ OWASP Nettacker 프로젝트는 Google Summer of Code 이니셔티브에 참여 중입니다
• 🙏 Google Summer of Code 이니셔티브 및 여름 휴가 동안 이 프로젝트에 기여한 모든 학생들에게 감사드립니다: