Kvasir, la herramienta open-source de Cisco para penetration testers : hackplayers

En algunos tests de intrusión puede darse el caso de que participen varios auditores o que el objetivo ya haya sido auditado con anterioridad. Imagina que no hay nada peor que estar varios días intentando explotar un fallo y que cuando por fin lo consigues te diga un compañero "~~¡coño,~~ si eso es lo mismo que ha hize yo el año pasado!".

Kvasir es un aplicativo web que viene un poco a facilitarnos este trabajo, es decir, está diseñada para homogeneizar la información recopilada de varias fuentes, como distintos frameworks de explotación o escáneres de vulnerabilidades, en una sola estructura de base de datos. Lo utilizaba el equipo de Cisco Systems Advanced Services Security Posture Assessment (SPA) y ahora han decidido publicar incluso su código. No es que sea una herramienta totalmente madura pero por ejemplo ya integra:

Rapid7 Nexpose Vulnerability Scanner

Nmap Security Scanner

Metasploit Pro (soporte limitado para datos de Express/Framework)

ShodanHQ

ImmunitySec CANVAS

THC-Hydra

Foofus Medusa

John The Ripper

…y más!

* escáneres de vulnerabilidades como Nessus, QualysGuard, SAINT, y otros ya se encuentran en fase de desarrollo...

Introduccuión a Kvasir: http://blogs.cisco.com/security/introducing-kvasir/
Kvasir en Github: https://github.com/KvasirSecurity/Kvasir