reNgine, yüksek düzeyde yapılandırılabilir ve kolaylaştırılmış bir keşif sürecine odaklanan, web uygulamalarına yönelik açık kaynaklı bir otomatik keşif çerçevesidir.
reNgine’ı geliştirmek
reNgine, geleneksel keşif araçlarının kısıtlamalarının üstesinden gelmek için geliştirildi. Hata ödül avcıları, penetrasyon test uzmanları ve kurumsal güvenlik ekipleri için bilgi toplama süreçlerini otomatikleştirip hassaslaştıran iyi bir seçimdir.
“reNgine, kişisel bir otomasyon projesinin parçası olarak oluşturuldu. Keşif sürecini düzenlemek için çeşitli açık kaynaklı araçların kullanılması mutlaka yeni değildi, yeniden icat edilmiş bir şey değildi; o zamanlar pek çok açık kaynak araç bu işi yapıyordu. Ancak bunların hepsinde keşifin ana bileşeni yani keşif verileri arasındaki korelasyon eksikti ve en önemlisi keşif sürecinde kullanılan bu araçların çoğu JSON, XML, TXT vb. farklı dosya formatlarında çıktılar veriyordu. reNgine geliştiricisi Yogesh Ojha, Help Net Security’ye şöyle konuştu: “Bu veriler arasındaki korelasyon çok büyük bir görevdi.”
Ana Özellikler
Otomasyon araçları oluşturmanın amacı, hem keşif öncesi hem de keşif sonrası keşif yaparken zamandan tasarruf etmektir. reNgine, doğru keşif verilerini bulmanıza yardımcı olmak için grafiklerde, haritalarda, görselleştirme ağaçlarında vb. çeşitli eyleme geçirilebilir bilgiler gösterir.
“Ayrıca, keşif verilerinizi minimum çabayla düzenlemenize olanak tanıyan Projeler adı verilen benzersiz bir özelliğimiz daha var. Bu özellik sayesinde, kişisel hata ödülü arama, müşteri etkileşimleri veya diğer herhangi bir özel keşif görevi gibi belirli bir amaca göre uyarlanmış farklı proje alanları oluşturabilirsiniz. Her proje ayrı bir kontrol paneline sahip olacak ve tüm tarama sonuçları her projeden ayrılacak, tarama motorları ve konfigürasyon ise tüm projeler arasında paylaşılacak.” diye ekledi Ojha.
Gelecek planları ve indirme
“Şu anda LLM entegrasyonunu reNgine’a getirmek için çalışıyorum. Llama3 ve Llama2 gibi LLM modellerinin yükselişiyle birlikte keşif raporlarına yardımcı olacağını umuyorum. OpenAI GPT raporu ve saldırı yüzeyi oluşturucu desteğimiz var ancak bunun için ücretli API anahtarları gerekiyor. Her kullanıcı bunu karşılayamazken, bazıları özel olarak eğitilmiş modelleri kullanmayı tercih ederken, diğerleri Llama2 sansürsüz gibi modelleri kullanmayı tercih edebilir. Özel LLM modelleri kurmanıza ve bunları saldırı yüzeyi oluşturucuya veya güvenlik açığı raporu oluşturucuya karşı kullanmanıza olanak tanıyan bir ‘model araç seti’ özelliği sunuyorum. Bu aynı zamanda GPT 3.5 ve GPT 4 gibi çeşitli GPT sürümlerinin kullanımına da olanak sağlayacak. Şu anda GPT3.5’in kullanımı sabit kodlanmış durumda,” diye sözlerini tamamladı Ojha.
reNgine GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: