Хакер в коробке: AutoPentestX проверит ваш сервер и даже ничего не сломает (если не просить)

Представьте, что вам нужно быстро оценить безопасность сервера, но вместо десятка разрозненных утилит вы запускаете одну команду и через полчаса получаете аккуратный PDF-отчет, пригодный хоть для руководства, хоть для аудита. Именно так позиционируется AutoPentestX, открытый набор для автоматизированного тестирования на проникновение на Linux, который делает упор на «безопасный режим» и неразрушающие проверки.

Проект разработал Gowtham Darkseid, релиз датируют ноябрем 2025 года. AutoPentestX ориентирован на Kali Linux, Ubuntu и другие дистрибутивы на базе Debian. После запуска он определяет ОС цели, выполняет сканирование портов, собирает информацию о сервисах и проводит проверки на типовые уязвимости. Для сетевой части используется Nmap, для веб-проверок подключаются Nikto и SQLMap, а риски оцениваются через поиск соответствующих CVE с учетом баллов CVSS. Результаты сохраняются в базе SQLite, чтобы к ним можно было вернуться позже и сравнить динамику.

Отдельно разработчики подчеркивают, что инструмент рассчитан на «безопасный» сценарий, без действий, которые могут повлиять на работоспособность системы. Для тех, кто хочет вручную проверить потенциальные пути эксплуатации, предусмотрена генерация RC-скриптов для Metasploit, но без автоматического нанесения ущерба. Все шаги логируются, что удобно для последующих разборов и подтверждения корректности работ.

Установка требует Python 3.8 или новее, прав администратора и заранее установленных утилит вроде Nmap. Предлагаются два пути: запустить install.sh для установки зависимостей или собрать окружение вручную через виртуальное окружение и requirements.txt. Дальше сценарий простой: команда вида ./autopentestx.sh <target_IP> запускает полный прогон, а вывод раскладывается по каталогам reports/, logs/ и database/. По заявлению авторов, типичный прогон занимает от 5 до 30 минут и заканчивается PDF-отчетом с кратким резюме, таблицами открытых портов, деталями по CVE и рекомендациями по устранению, а критические риски отмечаются при CVSS 9.0 и выше. Есть и ключи для отключения отдельных этапов, например пропуск веб-проверок, а также возможность менять имя тестировщика в отчете; отключение «безопасного режима» присутствует, но прямо помечается как нежелательное.

Как и у большинства подобных проектов, в AutoPentestX есть жесткое предупреждение: применять инструмент можно только при наличии явного разрешения на тестирование и с соблюдением законов. В планах разработчиков упоминаются поддержка нескольких целей за один запуск и более «умная» оценка рисков на основе накопленных данных.