-----------------------BEGIN TRANSMISSION: SECRET MESSAGE-------------------------
FARADAY PLATFORM v3.0: CALL FOR TESTERS
- Junio de 2018: Publicacion Faraday 3.0 BETA
Todos aquellos interesados en ver los nuevos cambios de la plataforma y reportar bugs para asegurar la estabilidad de la misma, registrarse en:
-----------------------END TRANSMISSION: SECRET MESSAGE-------------------------
Como nuestro mensaje secreto dice, estamos publicando la version Faraday 3.0 BETA!
Luego de 8 meses de mucho trabajo, de plantear nuevamente las bases tecnicas de la plataforma, dias buenos y otros no tantos... estamos contentos de poder estar anunciando esto!
Muchos de ustedes deben tener dudas acerca de que esto representa para la plataforma o para la comunidad, asi que vamos con un preguntas y respuestas...
Nada mal el ratio...
Como nuestro mensaje secreto dice, estamos publicando la version Faraday 3.0 BETA!
Luego de 8 meses de mucho trabajo, de plantear nuevamente las bases tecnicas de la plataforma, dias buenos y otros no tantos... estamos contentos de poder estar anunciando esto!
Muchos de ustedes deben tener dudas acerca de que esto representa para la plataforma o para la comunidad, asi que vamos con un preguntas y respuestas...
- En que consiste la version 3.0?
La version 3.0 basicamente es la nueva version sin Couchdb como base de datos, esta version estuvo enfocada en migrar de Couchdb a Postgresql y ademas, aprovechar a solucionar la deuda tecnica que teniamos.
- Por que dejaron Couchdb y pasaron a Postgresql?
Uff, larga historia de contar, pero intentemoslo...
Faraday empezo como un proyecto open source, desarrollado por pentesters en sus tiempos libres, con la idea de solucionar un problema que hasta el momento no habian encontrado solucion: compartir informacion acerca de un pentest y ahorrar tiempo en el assessments.
La primera idea sobre la arquitectura era muy distinta a lo que es hoy en dia, en ese tiempo se penso a Faraday como una red P2P, en donde cada usuario tenia una copia exacta en tiempo real del assessment, de manera que uno podia trabajar offline, online, o usando una version cloud de la plataforma.
Couchdb tiene un proceso de replicacion de DBs, que te permite replicar de una instancia a otra una base de datos, por esto y otras cosas mas, se construyo Faraday con este motor.
Con el paso del tiempo, la arquitectura cambio a un modelo de server central y pasamos a tener una idea del modelo de datos mas relacional, asi que el cambio era evidente: Postgresql.
Ademas de esto, la utilizacion de un motor relacional junto con el uso de ORMs como SLQAlchemy facilita la normalizacion de la data y nos permite prepararnos tecnicamente para el futuro de la plataforma...
- Lines added: 46130
- Lines deleted: 29310
- Total lines (delta): 6820
- Add./Del. ratio 1 : 0.635378
Total commits for the migration: 1715 (29% of total commits)
Con el paso del tiempo, la arquitectura cambio a un modelo de server central y pasamos a tener una idea del modelo de datos mas relacional, asi que el cambio era evidente: Postgresql.
Ademas de esto, la utilizacion de un motor relacional junto con el uso de ORMs como SLQAlchemy facilita la normalizacion de la data y nos permite prepararnos tecnicamente para el futuro de la plataforma...
- Cuanto impacta en la base de codigo de la plataforma?
- Lines added: 46130
- Lines deleted: 29310
- Total lines (delta): 6820
- Add./Del. ratio 1 : 0.635378
Total commits for the migration: 1715 (29% of total commits)
Nada mal el ratio...
- Que trae de nuevo el backend?
- Nuevo servidor: Basado en Flask, Twisted (Webscocket en GTK), Flask-Session, SQLAlchemy.
- Nuevo motor de base de datos: Postgresql.
- Nueva API REST (python manage.py show_urls): Con soporte completo para ABM de cada objeto de Faraday, sencilla para realizar consultas a la DB y ademas abre nuevas oportunidades de integraciones custom.
- Mejor escalabilidad y mejoras de performance: Redujimos drasticamente los tiempos de busquedas en nuestra API y con la nueva arquitectura es mas facil escalar en el futuro, con la llegada de nuevos features.
Un pequeño ejemplo de la nueva API: Importar un reporte a Faraday.
curl 'http://127.0.0.1:5985/_api/v2/ws/test/upload_report' -H 'Content-Type: multipart/form-data' -H 'Cookie: AuthSession=[COOKIE]; session=[COOKIE];' --data-binary $’[FILE BINARY DATA]’ —compressed
- Y el frontend?
Tambien viene con cambios!
Esta vez nos enfocamos en hacer a Faraday mas amigable para el usuario y cambiar un poco la paleta de colores a algo mas "ligero"
- Nuevos plugins? Si y muchos...
* Sslyze
* Wfuzz
* Xsssniper
* Brutexss
* Recon-NG
* Sublist3r
* HP Webinspect
* Dirsearch
* Ip360
- Lista completa de cambios
Rosa para version profesional.
Negro para version corporate.
- Allow faraday-server to have multiple instances
- Add hostname to host
- Interface removed from model and from persistence server lib (fplugin)
- Performance improvements on the backend
- Add quick change workspace name (from all views)
- Allow user to change workspace
- New faraday styles in all Webui views
- Add search by id for vulnerabilities
- Add new plugin Sslyze
- Add new plugin Wfuzz
- Add xsssniper plugin
- Fix W3af, Zap plugins
- Add Brutexss plugin
- Allow to upload report file from external tools from the web
- Fix sshcheck import file from GTK
- Add reconng plugin
- Add sublist3r plugin
- Add HP Webinspect plugin
- Add dirsearch plugin
- Add ip360 plugin
- CouchDB was replaced by PostgreSQL :)
- Host object changed, now the name property is called ip
- Interface object was removed
- Note object was removed and replaced with Comment
- Communication object was removed and replaced with Comment
- Show credentials count in summarized report on the dashboard
- Remove vuln template CWE fields, join it with references
- Allow to search hosts by hostname, os and service name
- Allow the user to specify the desired fields of the host list table
- Add optional hostnames, services, MAC and description fields to the host list
- Workspace names can be changed from the Web UI
- Changed the scope field of a workspace from a free text input to a list of targets
- Exploitation and severity fields only allow certain values. CWE CVEs were fixed to be valid. A script to convert custom CSVs was added.
- Web UI path changed from /ui/ to / (ui has now a redirection to / for keeping backwards compatibility)
- dirb plugin should creates a vulnerability type information instead of a note.
- Add confirmed column to exported CSV from Webui
- Fixes in Arachni plugin
- Add new parameters --keep-old and --keep-new for faraday CLI
- Add new screenshot fplugin which takes a screenshot of the ip:ports of a given protocol
- Add fix for net sparker regular and cloud fix on severity
- Admin users can list and access all workspaces, even if they don't have permissions
- Removed Chat feature (data is kept inside notes)
- Plugin reports now can be imported in the server, from the Web UI
- Add CVSS score to reference field in Nessus plugin.
- Fix unicode characters bug in Netsparker plugin.
- Fix Qualys plugin.
- Fix bugs with MACOS and GTK.
- Add response field added to model in grouped report template.
- Add tooltip in WebUi with information about errors in executive report.
- Ldap now login is with user@domain.com, not user only anymore.
- Fix Jira bugs in WebUi
https://www.faradaysec.com
https://forum.faradaysec.com/
https://github.com/infobyte/faraday
https://twitter.com/faradaysec
Esperamos sus comentarios y reportes de bugs sobre la nueva version!