Executando verificação de segurança...
11
Nogit
2 min de leitura ·

Pitch: Defendia - Analise Seu Site Por Vulnerabilidades Em Apenas Um Clique.

Eae pessoal! Queria falar pra vocês sobre o Defendia (https://defendia.app), uma ferramenta usada por mais de 500 usuários para escanear rapidamente seus sites em busca de vulnerabilidades!

Foi projetado para detectar vulnerabilidades reais e práticas que atacantes menos especializados podem explorar com facilidade. Ou seja... direto ao ponto, evitando alertas falsos e CVEs "inúteis" que muitas vezes não representam uma ameaça prática.

Antes de mais nada... quanto que ta essa brincadeira?

Grátis :D 🎄

O que vai ser analisado?

Ótima pergunta! Atualmente os scans são:

  1. Encontra subdominios (consultamos os certificados TLS para identificar os subdominios... Não vai achando que seu "4dm1n.domain.com" ta seguro nao!!"
  2. Port Scanning. (Todas as portas abertas e filtradas vão aparecer aqui!)
  3. Paths que não deveriam estar expostos!. (Vamos procurar por todos os paths padrões de login de banco de dados, administradores, backups, etc... E te falar se encontramos algum!)
  4. Vúlnerabilidades Wordpress - Para os devs WP, muitas vulnerabilidades são descobertas, e vamos te falar quais foram encontradas no site!
  5. Procura de Emails - As vezes, o site ta seguro, mas algum colega de trabalho tem o email vazado! Nós vamos retornar todos os emails que conseguimos encontrar a partir do domínio do site!

Lembrando... Tudo isso em menos de 1 minuto!

Hmm... ok... Mas como eu escaneio meu site?

  1. Cria uma conta
  2. Escreve a URL do site
  3. Clica no botão de "scan"
  4. Espera uns 40 segundinhos...
  5. pronto 🎉

Work In Progress

Agora, vamos falar o que estamos fazendo os testes e jaja deve ser lançado

  • Análise de SQLInjection.
  • Análise de XSS.

É isso!

Como desenvolvedor, descubra se seu site está seguro com Defendia! É grátis, oq custa testar? :p

⚠👀 ATUALIZAÇÃO MASSIVA (e gamechanging⭐) chegando em alguns dias....

  1. Aumento vísivel de velocidade do scan... (Vai ter um blogpost sobre programação paralela inclusive)
  2. Falhas corrigidas!
  3. CINCO Novos Scans INCRÍVEIS.
  4. Uma AI super inteligente! (Brincadeira... isso é pra atrair investidores haha)

E mais....

Entre no nosso canal do discord https://defendia.app/discord para poder ser notificado assim que a atualização acontecer!

Carregando publicação patrocinada...
2
1
Nogit
Autor
Autor

Obrigado pela sugestão! Estou pegando os erros que aconteceram e a grande maioria foi por que teve www. ou não teve o http:// (ou https://). Isso será corrigido até a próxima atualização.

Sobre não escanear na segunda vez, o que quis dizer?

1
ribafs

Fiz login e scaneei mei site. Ele me mostrou sundomínios que não uso e fui lé e removi.
Então volto e entro com o site novamente para ver se detecta as alterações, mas não sai do canto.

1
Nogit
Autor
Autor

Ahh sim, o certificado TLS mantém todos os subdominios criados até que o certificado seja reemitido ou expirado mesmo. O que estou planejando agora é uma forma de validar se o subdominio ta redirecionando pra algum serviço web.

2
mksDEV08

Ola Nogit!

Adorei a idéia do serviço, mas infelizmente não consegui utilizar, fui analizar e o form de scan e o campo action está vazio, então não está executando nada quando clicko em Scan.

1
Nogit
Autor
Autor

Opa! Tudo bomm?
O campo action realmente está vazio, mas estou usando o onSubmit do react, por isso não deve estar aparecendo no codigo fonte, provavelmente deve ser um listener "escutando" no codigo JS.

Você pode me falar qual browser está usando e se está no desktop ou mobile? Pra ver se consigo achar oq pode estar acontecendo.

Obgg :)

2
Allvesz

Muito bom amigo. Mas parando ora analisar certinho, a parte do WordPress não ta funcionando muito bem não. Testei uma url aqui que sei que tem admin.php aberto e não pegou. Sugiro dar uma validada nisso. Mas de resto, tá muito bom.

Já é um belo footprint pra começo automatizado.

1
Nogit
Autor
Autor

Obrigado por mostrar isso! Por enq, o wp pega os administradores só, mas tbm na proxima atualização vai fazer o scan completo, vou colocar na lista o admin.php pra aparecer!

2
JeielLimaMiranda

estamos fazendo os testes

Gostaria de saber: quantas pessoas estão envolvidas no trabalho com você?

Apreciei a plataforma. Anteriormente, utilizava o https://pentest.ai, porém, eles mudaram de segmento e, infelizmente, o serviço deixou de ser gratuito. Espero que a sua plataforma continue oferecendo uma opção gratuita de forma permanente. Os planos de "upgrade" parecem justos, com melhorias na automação, embora o tempo de resposta ainda não esteja totalmente claro. Acredito que, quando possível, a orientação seja mais eficaz do que a execução automatizada pelo sistema. Executar os testes localmente oferece certas vantagens; eu costumava enviar os resultados para a plataforma, que então me orientava sobre os próximos passos no pentest ou OSINT. Além disso, já me juntei ao Discord para acompanhar as atualizações.

1
Nogit
Autor
Autor

Opa! Obrigado pelo feedback!
Primeiramente, FREE FOREVER (pelo menos ate o lifetime da plataforma hehe) Todo mundo tem o direito de conseguir proteger o seu site.
Inclusive, isso leva para a segunda parte, sobre orientar como resolver o problema. Eu concordo totalmente! Inclusive é o objetivo falar como resolver os problemas, mas... não achei um design legal pra isso ahhahaha, mas estou trabalhando nisso!

Por enquanto trabalhando no Defendia sou eu e os usuários! Os feedbacks são incríveis, só de fazer um scan eu consigo ter varios insights do que consigo melhorar.

0
1
Nogit
Autor
Autor

Você foi a segunda pessoa que relatou que o site ta fora do ar! Mas acompanhando os logs aqui não chegou a ficar fora não....
Alguem aqui da comunidade dev sabe se a vercel tem um problema de roteamento?

0
1
0
0
Nogit
Autor
Autor

⚠ Enquanto a próxima atualização não sai, vejam isso:

  1. Quando forem escanear o site especifiquem o https://
  2. https://site.com.br/ acaba dando erro na análise de dominio e emails, evitem a / final, deve ser https://site.com.br
  3. Evitem colocar o www. inicial, que tambem afeta a análise de domínio/emails

É isso! Estou trabalhando para resolver isso o mais rápido possivel! De ontem pra hoje, já foram criadas 50 contas novas e ótimos feedbacks surgiram. Obrigado :D

0
Nogit
Autor
Autor

⚠👀 ATUALIZAÇÃO MASSIVA (e gamechanging⭐) chegando em alguns dias....

  1. Aumento vísivel de velocidade do scan... (Vai ter um blogpost sobre programação paralela inclusive)
  2. Falhas corrigidas!
  3. CINCO Novos Scans INCRÍVEIS.
  4. Uma AI super inteligente! (Brincadeira... isso é pra atrair investidores haha)

E mais....

Entre no nosso canal do discord https://defendia.app/discord para poder ser notificado assim que a atualização acontecer!

-1
1
1