የድር ሀብቶችን ለመፈተሽ የነጻ መሳሪያዎች አጠቃላይ እይታ እና ተጨማሪ v2

ከተወሰነ ጊዜ በፊት ስለ ጽፌ ነበር። ይሄ፣ ግን ትንሽ ትንሽ እና የተመሰቃቀለ። ከዚያ በኋላ በግምገማው ውስጥ ያሉትን የመሳሪያዎች ዝርዝር ለማስፋት ፣ በአንቀጹ ላይ መዋቅር ለመጨመር እና ትችትን ከግምት ውስጥ ለማስገባት ወሰንኩ (ብዙ አመሰግናለሁ) Lefty ለምክር) እና በሴክላብ ላይ ላለ ውድድር ላከ (እና ታትሟል አገናኝ, ግን በሁሉም ግልጽ ምክንያቶች ማንም አላያትም). ውድድሩ ተጠናቅቋል፣ ውጤቱም ይፋ ሆኗል እና በንፁህ ህሊናዬ (ጽሑፉን) በሀበሬ ላይ ማሳተም እችላለሁ።

ነፃ የድር መተግበሪያ ፔንቴስተር መሳሪያዎች

በዚህ ጽሑፍ ውስጥ "ጥቁር ሣጥን" ስትራቴጂን በመጠቀም የድር መተግበሪያዎችን ለመጥለፍ (የመግቢያ ሙከራዎች) በጣም ተወዳጅ መሳሪያዎችን እናገራለሁ.
ይህንን ለማድረግ ለእንደዚህ ዓይነቱ ሙከራ የሚረዱ መገልገያዎችን እንመለከታለን. የሚከተሉትን የምርት ምድቦች ግምት ውስጥ ያስገቡ:

1. የአውታረ መረብ ስካነሮች
2. የድር ስክሪፕት መጣስ ስካነሮች
3. ብዝበዛ
4. የመርፌዎች አውቶማቲክ
5. አራሚዎች (አነፍናፊዎች፣ የአካባቢ ፕሮክሲዎች፣ ወዘተ.)

አንዳንድ ምርቶች ዓለም አቀፋዊ "ቁምፊ" አላቸው, ስለዚህ እኔ ባላቸው ምድብ ውስጥ እከፋፍላቸዋለሁоየተሻለ ውጤት (ርዕሰ-ጉዳይ አስተያየት).

የአውታረ መረብ ስካነሮች.

ዋናው ተግባር የሚገኙትን የአውታረ መረብ አገልግሎቶች ማግኘት፣ ስሪቶቻቸውን መጫን፣ ስርዓተ ክወናውን መወሰን፣ ወዘተ ነው።

Nmap
Nmap ("የአውታረ መረብ ካርታ") ለኔትወርክ ትንተና እና የስርዓት ደህንነት ኦዲት ነፃ እና ክፍት ምንጭ መገልገያ ነው። ኃይለኛ የኮንሶል ተቃዋሚዎች የNmap GUI የሆነውን Zenmapን መጠቀም ይችላሉ።
ይህ “ብልጥ” ስካነር ብቻ ሳይሆን ከባድ ሊገለጽ የሚችል መሳሪያ ነው (ከ‹‹ያልተለመደው ባህሪ› አንዱ ትል መኖሩን ለማረጋገጥ መስቀለኛ መንገድን ለመፈተሽ ስክሪፕት መኖሩ ነው››Stuxnet" (የተጠቀሰው እዚህ). የተለመደው የአጠቃቀም ምሳሌ፡-

nmap -A -T4 localhost

-A ለስርዓተ ክወና ስሪት ማወቂያ፣ የስክሪፕት ቅኝት እና ፍለጋ
-T4 የጊዜ መቆጣጠሪያ ቅንብር (የበለጠ ፈጣን ነው ከ 0 እስከ 5)
localhost - ዒላማ አስተናጋጅ
የበለጠ ከባድ ነገር አለ?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

ይህ በዜንማፕ ውስጥ ካለው "ቀርፋፋ አጠቃላይ ቅኝት" መገለጫ የአማራጮች ስብስብ ነው። ለማጠናቀቅ በጣም ረጅም ጊዜ ይወስዳል ነገር ግን በመጨረሻ ስለ ዒላማው ስርዓት ሊታወቅ የሚችል የበለጠ ዝርዝር መረጃ ይሰጣል። በሩሲያኛ የእገዛ መመሪያ, በጥልቀት ለመሄድ ከወሰኑ, ጽሑፉን ለመተርጎምም እመክራለሁ ለ Nmap የጀማሪ መመሪያ.
Nmap እንደ ሊኑክስ ጆርናል፣ ኢንፎ ወርልድ፣ LinuxQuestions.Org እና Codetalker Digest ካሉ መጽሔቶች እና ማህበረሰቦች "የዓመቱን የደህንነት ምርት" ደረጃ አግኝቷል።
አንድ አስደሳች ነጥብ Nmap "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" እና በተባሉት ፊልሞች ውስጥ ሊታይ ይችላል. ሌላ.

አይፒ-መሳሪያዎች
አይፒ-መሳሪያዎች - የተለያዩ የአውታረ መረብ መገልገያዎች ስብስብ ፣ ከ GUI ጋር ይመጣል ፣ ለዊንዶውስ ተጠቃሚዎች “የተሰጠ።
ወደብ ስካነር፣ የተጋሩ ግብዓቶች (የተጋሩ አታሚዎች/አቃፊዎች)፣ WhoIs/Finger/Lookup፣ telnet ደንበኛ እና ሌሎችም። ምቹ ፣ ፈጣን ፣ ተግባራዊ መሳሪያ ብቻ።

በዚህ አካባቢ ብዙ መገልገያዎች ስላሉ እና ሁሉም ተመሳሳይ የአሠራር መርሆች እና ተግባራዊነት ስላላቸው ሌሎች ምርቶችን ግምት ውስጥ ማስገባት ምንም የተለየ ነጥብ የለም. አሁንም፣ nmap በብዛት ጥቅም ላይ የሚውለው ሆኖ ይቆያል።

የድር ስክሪፕት መጣስ ስካነሮች

ታዋቂ ተጋላጭነቶችን ለማግኘት መሞከር (SQL inj፣ XSS፣ LFI/RFI፣ ወዘተ) ወይም ስህተቶች (ያልተሰረዙ ጊዜያዊ ፋይሎች፣ ማውጫ ማውጫ፣ ወዘተ.)

አኩኒቲክስ የድር ተጋላጭነት ስካነር
አኩኒቲክስ የድር ተጋላጭነት ስካነር - ከአገናኙ ላይ ይህ xss ስካነር መሆኑን ማየት ይችላሉ ፣ ግን ይህ ሙሉ በሙሉ እውነት አይደለም። እዚህ የሚገኘው ነፃው ስሪት በጣም ብዙ ተግባራትን ይሰጣል። ብዙውን ጊዜ ይህን ስካነር ለመጀመሪያ ጊዜ ያሰራው እና በሀብታቸው ላይ ሪፖርት ለመጀመሪያ ጊዜ የተቀበለ ሰው ትንሽ ድንጋጤ ያጋጥመዋል፣ እና ይህን ካደረጉ በኋላ ለምን እንደሆነ ይገባዎታል። ይህ በድር ጣቢያ ላይ ሁሉንም አይነት ተጋላጭነቶችን ለመተንተን በጣም ኃይለኛ ምርት ነው እና ከተለመዱት የPHP ድረ-ገጾች ጋር ​​ብቻ ሳይሆን በሌሎች ቋንቋዎችም ይሰራል (ምንም እንኳን የቋንቋ ልዩነት አመላካች ባይሆንም)። ስካነሩ የተጠቃሚውን ድርጊቶች በቀላሉ "ስለሚያነሳ" መመሪያውን ለመግለፅ የተለየ ነጥብ የለም. በተለመደው የሶፍትዌር ጭነት ውስጥ ከ "ቀጣይ, ቀጣይ, ቀጣይ, ዝግጁ" ጋር ተመሳሳይ የሆነ ነገር.

ኒክ
ኒክ ይህ ክፍት ምንጭ (ጂፒኤል) የድር ጎብኚ ነው። መደበኛ የእጅ ሥራን ያስወግዳል. ያልተሰረዙ ስክሪፕቶችን (አንዳንድ test.php ፣ index_.php ፣ ወዘተ) ፣ የውሂብ ጎታ አስተዳደር መሳሪያዎችን (/phpmyadmin/ ፣ /pma እና የመሳሰሉትን) ወዘተ ፣ ማለትም ሀብቱን በጣም የተለመዱ ስህተቶችን ለማግኘት የታለመውን ጣቢያ ይፈልጋል ። ብዙውን ጊዜ የሚከሰተው በሰዎች ምክንያቶች ነው።
በተጨማሪም, አንዳንድ ታዋቂ ስክሪፕቶችን ካገኘ, የተለቀቁ ብዝበዛዎችን (በመረጃ ቋቱ ውስጥ ያሉትን) ይፈትሻል.
ሪፖርቶች እንደ PUT እና TRACE ያሉ "ያልተፈለጉ" ዘዴዎች ይገኛሉ
እናም ይቀጥላል. እንደ ኦዲተር ከሰሩ እና በየቀኑ ድህረ ገፆችን ሲተነትኑ በጣም ምቹ ነው።
ከመቀነሱ መካከል፣ ከፍተኛ የውሸት አዎንታዊ መቶኛን ልብ ማለት እፈልጋለሁ። ለምሳሌ, ጣቢያዎ ሁል ጊዜ ከ 404 ስህተት ይልቅ ዋናውን ስህተት ከሰጠ (መከሰት ሲኖርበት) ስካነሩ ጣቢያዎ ሁሉንም ስክሪፕቶች እና ሁሉንም ተጋላጭነቶች ከውሂብ ጎታው ውስጥ እንደያዘ ይናገራል። በተግባር, ይህ ብዙ ጊዜ አይከሰትም, ግን እንደ እውነቱ, ብዙ በጣቢያዎ መዋቅር ላይ የተመሰረተ ነው.
ክላሲክ አጠቃቀም፡-

./nikto.pl -host localhost

በጣቢያው ላይ ፍቃድ ማግኘት ከፈለጉ በ nikto.conf ፋይል ውስጥ ኩኪ ማዘጋጀት ይችላሉ, የ STATIC-COOKIE ተለዋዋጭ.

ዊክቶ
ዊክቶ - Nikto ለዊንዶውስ፣ ነገር ግን ከአንዳንድ ተጨማሪዎች ጋር፣ ለምሳሌ ለስህተቶች ኮድ ሲፈተሽ፣ GHDB በመጠቀም፣ አገናኞችን እና የመረጃ ማህደሮችን ማግኘት፣ የኤችቲቲፒ ጥያቄዎች/ምላሾችን በቅጽበት መከታተል። ዊክቶ በ C # የተፃፈ ሲሆን የ NET ማዕቀፍ ያስፈልገዋል።

ስኪፕፊሽ
ስኪፕፊሽ - የድር ተጋላጭነት ስካነር ከ ሚካል ዛሌቭስኪ (lcamtuf በመባል ይታወቃል)። በሲ ተፃፈ፣ መድረክ አቋራጭ (Win Cygwin ያስፈልገዋል)። በተደጋጋሚ (እና በጣም ለረጅም ጊዜ ከ 20 ~ 40 ሰአታት ውስጥ, ምንም እንኳን ለመጨረሻ ጊዜ ለእኔ የሰራኝ ጊዜ 96 ሰአታት ቢሆንም) ሙሉውን ቦታ ይጎበኛል እና ሁሉንም አይነት የደህንነት ጉድጓዶች ያገኛል. እንዲሁም ብዙ ትራፊክ ያመነጫል (በርካታ ጂቢ ገቢ/ወጪ)። ነገር ግን ሁሉም ዘዴዎች ጥሩ ናቸው, በተለይም ጊዜ እና ሀብቶች ካሉዎት.
የተለመደ አጠቃቀም፡-

./skipfish -o /home/reports www.example.com

በ "ሪፖርቶች" አቃፊ ውስጥ በኤችቲኤምኤል ውስጥ ሪፖርት ይኖራል ፣ ምሳሌ.

w3af
w3af - የድር መተግበሪያ ጥቃት እና ኦዲት ማዕቀፍ፣ ክፍት ምንጭ የድር ተጋላጭነት ስካነር። GUI አለው፣ ግን ከኮንሶሉ ላይ መስራት ይችላሉ። የበለጠ በትክክል ፣ እሱ ያለው ማዕቀፍ ነው። ተሰኪዎች ስብስብ.
ስለ ጥቅሞቹ ለረጅም ጊዜ ማውራት ይችላሉ ፣ እሱን መሞከር የተሻለ ነው :] ከእሱ ጋር የተለመደው ስራ መገለጫን ለመምረጥ, ግቡን በመግለጽ እና በእውነቱ ማስጀመር ላይ ይወርዳል.

ማንትራ የደህንነት መዋቅር
በየጎዜ እውን የሆነ ህልም ነው።. በድር አሳሽ ውስጥ የተገነቡ ነፃ እና ክፍት የመረጃ ደህንነት መሳሪያዎች ስብስብ።
የድር መተግበሪያዎችን በሁሉም ደረጃዎች ሲሞክሩ በጣም ጠቃሚ።
አሳሹን ለመጫን እና ለማስጀመር አጠቃቀሙ ይቀንሳል።

እንደ እውነቱ ከሆነ በዚህ ምድብ ውስጥ ብዙ መገልገያዎች አሉ እና ከእነሱ አንድ የተወሰነ ዝርዝር መምረጥ በጣም ከባድ ነው. ብዙውን ጊዜ, እያንዳንዱ ፔንቴስተር ራሱ የሚያስፈልገውን የመሳሪያውን ስብስብ ይወስናል.

ብዝበዛ

ለራስ-ሰር እና ለበለጠ ምቹ ተጋላጭነቶች ብዝበዛ በሶፍትዌር እና በስክሪፕት የተፃፈ ሲሆን ይህም የደህንነት ጉድጓዱን ለመጠቀም መለኪያዎችን ብቻ ማለፍ ያስፈልጋል። እና ብዝበዛዎችን በእጅ መፈለግን የሚያስወግዱ እና እንዲያውም በበረራ ላይ የሚተገበሩ ምርቶች አሉ. ይህ ምድብ አሁን ይብራራል.

የሜታፕሮጀክት ማዕቀፍ
Metasploit® መዋቅር - በእኛ ንግድ ውስጥ አንድ ዓይነት ጭራቅ። እሱ ብዙ ሊሠራ ስለሚችል መመሪያው ብዙ ጽሑፎችን ይሸፍናል. አውቶማቲክ ብዝበዛን (nmap + metasploit) እንመለከታለን። ዋናው ነገር ይህ ነው፡ Nmap የምንፈልገውን ወደብ ይመረምራል፣ አገልግሎቱን ይጭናል፣ እና ሜታስፕሎይት በአገልግሎት ክፍል (ftp፣ ssh፣ ወዘተ) ላይ በመመስረት ብዝበዛዎችን ተግባራዊ ለማድረግ ይሞክራል። ከጽሑፍ መመሪያዎች ይልቅ፣ በርዕሱ ላይ በጣም ታዋቂ የሆነ ቪዲዮ አስገባለሁ።

ወይም በቀላሉ የምንፈልገውን የብዝበዛ አሠራር በራስ ሰር ማድረግ እንችላለን። ለምሳሌ፡-

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run

እንደ እውነቱ ከሆነ, የዚህ ማዕቀፍ ችሎታዎች በጣም ሰፊ ናቸው, ስለዚህ ወደ ጥልቀት ለመሄድ ከወሰኑ, ይሂዱ ማያያዣ

መምጣት ፡፡
መምጣት ፡፡ - OVA የሳይበርፐንክ ዘውግ GUI ለMetasploit። ዒላማውን በዓይነ ሕሊና ይሳሉ፣ ብዝበዛዎችን ይመክራል እና የማዕቀፉን የላቀ ባህሪያትን ይሰጣል። በአጠቃላይ ሁሉም ነገር ቆንጆ እና አስደናቂ ሆኖ እንዲታይ ለሚወዱ.
የስክሪን ቀረጻ፡

ተንከባካቢ Nessus®
ተንከባካቢ የNessus® የተጋላጭነት ስካነር - ብዙ ነገሮችን ማድረግ ይችላል, ነገር ግን ከእሱ ከሚያስፈልጉን ችሎታዎች ውስጥ አንዱ የትኞቹ አገልግሎቶች ጥቅም ላይ እንደሚውሉ መወሰን ነው. የምርቱ ነፃ ስሪት “ቤት ብቻ”

አጠቃቀም

• ወርዷል (ለስርዓትዎ)፣ ተጭኗል፣ ተመዝግቧል (ቁልፉ ወደ ኢሜልዎ ይላካል)።
• አገልጋዩን ጀምሯል፣ ተጠቃሚውን ወደ የNessus አገልጋይ አስተዳዳሪ አክለዋል (የተጠቃሚዎችን አስተዳድር ቁልፍ)
• ወደ አድራሻው እንሄዳለን

  https://localhost:8834/

  እና የፍላሽ ደንበኛን በአሳሹ ውስጥ ያግኙ

• ስካን -> አክል -> መስኮቹን ይሙሉ (ለእኛ የሚስማማውን የቃኝ ፕሮፋይል በመምረጥ) እና ስካንን ጠቅ ያድርጉ።

ከተወሰነ ጊዜ በኋላ የፍተሻ ሪፖርቱ በሪፖርቶች ትር ውስጥ ይታያል
የአገልግሎቶችን ለብዝበዛ ተግባራዊ ተጋላጭነት ለማረጋገጥ ከላይ የተገለፀውን Metasploit Frameworkን መጠቀም ወይም ብዝበዛን ለማግኘት መሞከር ትችላለህ (ለምሳሌ በ ላይ ኤክስፕሎት-ዲቢ, የፓኬት አውሎ ነፋስ, መፈተሽ ወዘተ) እና በእጅ ተጠቀምበት የእሱ ስርዓት
IMHO: በጣም ግዙፍ። በዚህ የሶፍትዌር ኢንዱስትሪ አቅጣጫ ውስጥ ካሉት መሪዎች እንደ አንዱ አመጣሁት።

የመርፌዎች አውቶማቲክ

ብዙዎቹ የድር መተግበሪያ ሰከንድ ስካነሮች መርፌን ይፈልጋሉ፣ ግን አሁንም አጠቃላይ ስካነሮች ናቸው። እና በተለይ መርፌዎችን መፈለግ እና መበዝበዝን የሚመለከቱ መገልገያዎች አሉ። አሁን ስለእነሱ እንነጋገራለን.

ስኩዌርማፕ
ስኩዌርማፕ - የ SQL መርፌዎችን ለመፈለግ እና ለመጠቀም ክፍት ምንጭ መገልገያ። እንደ MySQL፣ Oracle፣ PostgreSQL፣ Microsoft SQL Server፣ Microsoft Access፣ SQLite፣ Firebird፣ Sybase፣ SAP MaxDB የመሳሰሉ የመረጃ ቋት አገልጋዮችን ይደግፋል።
የተለመደው አጠቃቀም እስከ መስመሩ ድረስ ይደርሳል፡-

python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
በሩሲያኛ ጨምሮ በቂ መመሪያዎች አሉ. ሶፍትዌሩ በዚህ አካባቢ ሲሰራ የፔንቴስተር ስራን በእጅጉ ያመቻቻል.
ይፋዊ የቪዲዮ ማሳያ እጨምራለሁ፡-

bsqlbf-v2
bsqlbf-v2 - የፐርል ስክሪፕት፣ ለ"ዓይነ ስውር" Sql መርፌዎች ብሩት አስገዳጅ። ሁለቱንም ኢንቲጀር በዩአርኤል እና በሕብረቁምፊ እሴቶች ይሰራል።
የውሂብ ጎታ ይደገፋል፡

• MS-SQL
• MySQL
• PostgreSQL
• Oracle

የአጠቃቀም ምሳሌ፡-

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

- ዩአርኤል www.somehost.com/blah.php?u=5 - ግቤቶች ጋር አገናኝ
- ዕውር - ለመወጋት መለኪያ (በነባሪ የመጨረሻው ከአድራሻ አሞሌ ይወሰዳል)
-sql "የሠንጠረዡን ስም ከimformation_schema ምረጥ። ሰንጠረዦች ገደብ 1 ማካካሻ 0" - ወደ ዳታቤዝ ያለን የዘፈቀደ ጥያቄ
- የውሂብ ጎታ 1 የውሂብ ጎታ አገልጋይ: MSSQL
- ዓይነት 1 - የጥቃት ዓይነት ፣ “ዓይነ ስውር” መርፌ ፣ በእውነተኛ እና ስህተት (ለምሳሌ ፣ የአገባብ ስህተቶች) ምላሾች ላይ የተመሠረተ።

አራሚዎች

እነዚህ መሳሪያዎች በዋናነት በገንቢዎች የሚጠቀሙት ኮዳቸውን የማስፈጸም ውጤት ላይ ችግር ሲያጋጥማቸው ነው። ነገር ግን ይህ አቅጣጫ በበረራ ላይ የምንፈልገውን መረጃ ለመተካት ስንችል፣ ለግቤት ግቤቶች (ለምሳሌ በፉዝንግ ወቅት)፣ ወዘተ ላይ ምላሽ ለመስጠት ምን እንደሚመጣ በመመርመር ይህ አቅጣጫ ለማንሳት ይጠቅማል።

ቡርፕ Suite
ቡርፕ Suite - የመግቢያ ሙከራዎችን የሚያግዙ መገልገያዎች ስብስብ. በይነመረብ ላይ ነው። ጥሩ ግምገማ በሩሲያኛ ከ Raz0r (ለ 2008 ቢሆንም).
ነፃው ስሪት የሚከተሉትን ያጠቃልላል

• Burp Proxy ቀድሞውንም ከአሳሹ የመነጩ ጥያቄዎችን እንዲቀይሩ የሚያስችልዎ የአካባቢ ተኪ ነው።
• Burp Spider - ሸረሪት, ነባር ፋይሎችን እና ማውጫዎችን ይፈልጋል
• Burp Repeater - የኤችቲቲፒ ጥያቄዎችን በእጅ በመላክ ላይ
• Burp Sequencer - የዘፈቀደ እሴቶችን በቅጾች መተንተን
• ቡርፕ ዲኮደር መደበኛ ኢንኮደር-ዲኮደር (ኤችቲኤምኤል፣ ቤዝ64፣ ሄክስ፣ ወዘተ) ሲሆን ከእነዚህም ውስጥ በሺዎች የሚቆጠሩ ሲሆኑ በማንኛውም ቋንቋ በፍጥነት ሊፃፉ ይችላሉ።
• Burp Comparer - ሕብረቁምፊ ማነጻጸሪያ አካል

በመርህ ደረጃ, ይህ ፓኬጅ ከዚህ አካባቢ ጋር የተያያዙ ሁሉንም ማለት ይቻላል ችግሮችን ይፈታል.

ዊድለር
ዊድለር - Fiddler ሁሉንም የኤችቲቲፒ(ኤስ) ትራፊክ የሚመዘግብ ማረም ፕሮክሲ ነው። ይህንን ትራፊክ እንድትመረምር፣ መግቻ ነጥቦችን እንድታዘጋጅ እና በገቢ ወይም ወጪ ውሂብ እንድትጫወት ይፈቅድልሃል።

በተጨማሪም አለ የእሳት በግ, ጭራቅ Wireshark እና ሌሎች, ምርጫው በተጠቃሚው ይወሰናል.

መደምደሚያ

በተፈጥሮ እያንዳንዱ ፔንቴስተር የራሱ የጦር መሣሪያ እና የራሱ መገልገያዎች ስብስብ አለው, ምክንያቱም በቀላሉ ብዙ ናቸው. አንዳንድ በጣም ምቹ እና ተወዳጅ የሆኑትን ለመዘርዘር ሞከርኩ. ነገር ግን ማንም ሰው በዚህ አቅጣጫ ከሌሎች መገልገያዎች ጋር እንዲተዋወቅ, ከዚህ በታች አገናኞችን አቀርባለሁ.

የስካነሮች እና መገልገያዎች የተለያዩ ቁንጮዎች/ዝርዝሮች

• የደህንነት እና የጠለፋ መሳሪያዎች
• ምርጥ 100 የአውታረ መረብ ደህንነት መሣሪያዎች
• ምርጥ 10 የድር ተጋላጭነት ቃኚዎች.
• ከፍተኛ 10 የተጋላጭነት ቃኚዎች
• OWASP ምርጥ 10 መሳሪያዎች እና ዘዴዎች
• በድር ላይ የተመሰረቱ የመተግበሪያ ደህንነት ስካነሮች
• የድር መተግበሪያ ደህንነት ስካነር ዝርዝር በWebAppSec
• Infosec መገልገያዎች በ RDot መድረክ ላይ
• የተጋላጭነት ስካነሮች (ዊኪፔዲያ)

የተለያዩ የፔንቴቲንግ መገልገያዎችን ያካተቱ የሊኑክስ ስርጭቶች

• ተመለስ
• Pentoo
• WEAKERTHAN
• Backbuntu

አዘምን: BurpSuite ሰነድ በሩሲያኛ ከ "Hack4Sec" ቡድን (ታክሏል አንቶንኩዝሚን)

ፒ.ኤስ. ስለ XSpider ዝም ማለት አንችልም። በግምገማው ውስጥ አይሳተፍም ፣ ምንም እንኳን shareware ቢሆንም (ጽሑፉን ወደ ሴክላብ ስልክ ተረድቻለሁ ፣ በእውነቱ በዚህ ምክንያት (እውቀት አይደለም ፣ እና የቅርብ ጊዜው ስሪት 7.8 እጥረት) እና በአንቀጹ ውስጥ አላካተትኩም)። እና በንድፈ ሀሳብ, የእሱ ግምገማ ታቅዶ ነበር (ለእሱ የተዘጋጁ ከባድ ፈተናዎች አሉኝ), ነገር ግን ዓለም ያየው እንደሆነ አላውቅም.

ፒ.ፒ.ኤስ. ከጽሁፉ ውስጥ የተወሰኑት ነገሮች ለታቀደለት አላማው በሚመጣው ሪፖርት ላይ ጥቅም ላይ ይውላሉ CodeFest እ.ኤ.አ. 2012 በ QA ክፍል ውስጥ ፣ እዚህ ያልተጠቀሱ መሳሪያዎችን (በእርግጥ ፣ ነፃ) ፣ እንዲሁም አልጎሪዝም ፣ በምን ቅደም ተከተል ምን እንደሚጠቀሙ ፣ ምን ውጤት እንደሚጠብቁ ፣ ምን ውቅሮች እንደሚጠቀሙ እና ሁሉንም አይነት ፍንጭ እና ዘዴዎችን ይይዛል ። በመስራት ላይ (ስለ ሪፖርቱ በየቀኑ ማለት ይቻላል አስባለሁ ፣ ስለ ርዕሰ ጉዳዩ ጥሩውን ሁሉ ልነግርዎ እሞክራለሁ)
በነገራችን ላይ በዚህ ጽሑፍ ላይ ትምህርት ነበር InfoSec ቀኖችን ክፈት (Habré ላይ መለያ, ድር ጣቢያ), ይችላል ኮሮቫኖችን መዝረፍ ተመልከት ቁሳቁሶች.

ምንጭ: hab.com