Bir müddət əvvəl haqqında yazmışdım , lakin bir az cüzi və xaotik. Daha sonra rəydə olan vasitələrin siyahısını genişləndirmək, məqaləyə struktur əlavə etmək və tənqidi nəzərə almaq qərarına gəldim (çox sağ olun) məsləhət üçün) və onu SecLab-da müsabiqəyə göndərdi (və nəşr etdi , lakin bütün açıq səbəblərə görə heç kim onu görmədi). Müsabiqə bitdi, nəticələr açıqlandı və mən bunu (məqaləni) Habré-də dərc edə bilərəm.
Pulsuz Veb Tətbiqi Pentester Alətləri
Bu yazıda mən “qara qutu” strategiyasından istifadə edərək veb proqramların pentestinqi (penetrasiya testləri) üçün ən populyar vasitələrdən danışacağam.
Bunu etmək üçün biz bu tip testlərə kömək edəcək kommunal proqramlara baxacağıq. Aşağıdakı məhsul kateqoriyalarını nəzərdən keçirin:
- Şəbəkə skanerləri
- Veb skriptinin pozulması skanerləri
- İstismar
- Enjeksiyonların avtomatlaşdırılması
- Sazlayıcılar (snayferlər, yerli proksilər və s.)
Bəzi məhsulların universal "xarakteri" var, ona görə də mən onları hansı kateqoriyaya aid edəcəyəmоdaha yaxşı nəticə (subyektiv rəy).
Şəbəkə skanerləri.
Əsas vəzifə mövcud şəbəkə xidmətlərini tapmaq, onların versiyalarını quraşdırmaq, OS-ni müəyyənləşdirmək və s.
Nmap
şəbəkə təhlili və sistem təhlükəsizliyi auditi üçün pulsuz və açıq mənbə proqramdır. Konsolun şiddətli rəqibləri Nmap üçün GUI olan Zenmap-dan istifadə edə bilərlər.
Bu, sadəcə "ağıllı" skaner deyil, ciddi genişləndirilə bilən bir vasitədir ("qeyri-adi xüsusiyyətlərdən" biri, bir qurdun varlığını yoxlamaq üçün bir skriptin olmasıdır ""(qeyd olunub ). Tipik istifadə nümunəsi:
nmap -A -T4 localhost
-ƏS versiyasının aşkarlanması, skriptin skan edilməsi və izlənilməsi üçün
-T4 vaxta nəzarət parametri (daha çox daha sürətli, 0-dan 5-ə qədər)
localhost - hədəf host
Daha sərt bir şey?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Bu, Zenmap-da "yavaş hərtərəfli tarama" profilindən seçimlər toplusudur. Tamamlamaq üçün kifayət qədər uzun vaxt tələb olunur, lakin nəticədə hədəf sistem haqqında öyrənilə bilən daha ətraflı məlumat verir. , daha dərinə getmək qərarına gəlsəniz, məqaləni tərcümə etməyi də tövsiyə edirəm .
Nmap Linux Journal, Info World, LinuxQuestions.Org və Codetalker Digest kimi jurnal və icmalardan "İlin Təhlükəsizlik Məhsulu" statusu alıb.
Maraqlı məqam odur ki, Nmap-ı “The Matrix Reloaded”, “Die Hard 4”, “The Bourne Ultimatum”, “Hottabych” filmlərində görmək olar. .
IP alətləri
- Windows istifadəçilərinə "həsr olunmuş" GUI ilə birlikdə müxtəlif şəbəkə kommunallarının bir növüdür.
Port skaneri, paylaşılan resurslar (paylaşılan printerlər/qovluqlar), WhoIs/Finger/Lookup, telnet müştərisi və s. Sadəcə rahat, sürətli, funksional alətdir.
Digər məhsulları nəzərdən keçirməyin xüsusi bir mənası yoxdur, çünki bu sahədə bir çox kommunal xidmətlər var və hamısı oxşar iş prinsiplərinə və funksionallığına malikdir. Yenə də nmap ən çox istifadə edilən olaraq qalır.
Veb skriptinin pozulması skanerləri
Məşhur boşluqları (SQL inj, XSS, LFI/RFI və s.) və ya səhvləri (silinməyən müvəqqəti fayllar, kataloq indeksləşdirmə və s.)
Acunetix Veb Zəifliyi Skaneri
— linkdən bunun xss skaneri olduğunu görə bilərsiniz, lakin bu tamamilə doğru deyil. Burada mövcud olan pulsuz versiya kifayət qədər çox funksionallıq təmin edir. Adətən, bu skaneri ilk dəfə işlədən və öz resursu haqqında ilk dəfə hesabat alan şəxs kiçik bir sarsıntı keçirir və bunu etdikdən sonra bunun səbəbini başa düşəcəksiniz. Bu, vebsaytdakı bütün növ zəiflikləri təhlil etmək üçün çox güclü məhsuldur və yalnız adi PHP veb saytları ilə deyil, digər dillərdə də işləyir (baxmayaraq ki, dil fərqi göstərici deyil). Təlimatları təsvir etməyin xüsusi bir mənası yoxdur, çünki skaner sadəcə istifadəçinin hərəkətlərini "götürür". Tipik bir proqram quraşdırmasında "növbəti, sonrakı, sonrakı, hazır" kimi bir şey.
Nikto
Bu Açıq Mənbəli (GPL) veb skaneridir. Rutin əl işlərini aradan qaldırır. Hədəf saytda silinməmiş skriptləri (bəzi test.php, index_.php və s.), verilənlər bazası idarəetmə alətlərini (/phpmyadmin/, /pma və s.) axtarır, yəni resursda ən çox yayılmış səhvləri yoxlayır. adətən insan faktorları səbəb olur.
Üstəlik, hansısa məşhur skript tapsa, onu buraxılmış istismarlara görə yoxlayır (onlar verilənlər bazasındadır).
PUT və TRACE kimi mövcud "arzuolunmaz" üsullar haqqında hesabat verir
Və s. Əgər siz auditor kimi işləyirsinizsə və hər gün saytları təhlil etsəniz, çox rahatdır.
Mənfi cəhətlərdən yanlış müsbətlərin yüksək faizini qeyd etmək istərdim. Məsələn, əgər saytınız həmişə 404 xətası əvəzinə əsas xətanı verirsə (o zaman baş verməlidir), onda skaner saytınızın bütün skriptləri və verilənlər bazasındakı bütün zəiflikləri ehtiva etdiyini söyləyəcək. Praktikada bu o qədər də tez-tez baş vermir, amma fakt olaraq saytınızın strukturundan çox şey asılıdır.
Klassik istifadə:
./nikto.pl -host localhost
Əgər saytda avtorizasiyaya ehtiyacınız varsa, nikto.conf faylında, STATIC-COOKIE dəyişənində kuki təyin edə bilərsiniz.
Wikto
— Windows üçün Nikto, lakin bəzi əlavələrlə, məsələn, səhvlər üçün kodu yoxlayanda, GHDB-dən istifadə edərkən, bağlantılar və resurs qovluqlarını əldə edərkən, HTTP sorğularının/cavablarının real vaxt rejimində monitorinqi zamanı “qeyri-səlis” məntiq kimi. Wikto C# dilində yazılmışdır və .NET çərçivəsini tələb edir.
skipfish
-dən veb zəiflik skaneri (lcamtuf kimi tanınır). C-də yazılmış, cross-platform (Win Cygwin tələb edir). Rekursiv olaraq (və çox uzun müddət, təxminən 20 ~ 40 saat, baxmayaraq ki, mənim üçün sonuncu dəfə 96 saat işləyirdi) bütün saytı tarar və hər cür təhlükəsizlik boşluqlarını tapır. O, həmçinin çoxlu trafik yaradır (bir neçə GB daxil olan/gidən). Ancaq bütün vasitələr yaxşıdır, xüsusən də vaxtınız və resurslarınız varsa.
Tipik istifadə:
./skipfish -o /home/reports www.example.com
“Hesabatlar” qovluğunda html-də hesabat olacaq, .
w3af
— Veb Tətbiq Hücumları və Audit Çərçivəsi, açıq mənbəli veb zəiflik skaneri. Onun GUI var, lakin siz konsoldan işləyə bilərsiniz. Daha doğrusu, bir çərçivədir .
Faydaları haqqında uzun müddət danışa bilərsiniz, sınamaq daha yaxşıdır:]
Onunla tipik iş profil seçmək, hədəfi müəyyənləşdirmək və əslində onu işə salmaqdan ibarətdir.
Mantra Təhlükəsizlik Çərçivəsi
gerçəkləşən xəyaldır. Veb brauzerində quraşdırılmış pulsuz və açıq məlumat təhlükəsizliyi vasitələri toplusu.
Veb proqramlarını bütün mərhələlərdə sınaqdan keçirərkən çox faydalıdır.
İstifadə brauzerin quraşdırılması və işə salınması ilə nəticələnir.
Əslində, bu kateqoriyada bir çox kommunal xidmətlər var və onlardan müəyyən bir siyahı seçmək olduqca çətindir. Çox vaxt hər bir pentester özü ehtiyac duyduğu alətlər dəstini müəyyənləşdirir.
İstismar
Boşluqların avtomatlaşdırılmış və daha rahat istismarı üçün istismarlar proqram təminatı və skriptlərdə yazılır ki, onlardan yalnız təhlükəsizlik boşluğundan istifadə etmək üçün parametrlərdən keçmək lazımdır. İstismarları əl ilə axtarmaq ehtiyacını aradan qaldıran və hətta onları tez tətbiq edən məhsullar var. Bu kateqoriya indi müzakirə olunacaq.
Metasploit Çərçivə
- işimizdə bir növ canavar. O, o qədər çox şey edə bilər ki, təlimatlar bir neçə məqaləni əhatə edəcək. Avtomatik istismara (nmap + metasploit) baxacağıq. Nəticə budur: Nmap bizə lazım olan portu təhlil edəcək, xidməti quraşdıracaq və metasploit ona xidmət sinfinə (ftp, ssh və s.) əsasən istismarları tətbiq etməyə çalışacaq. Mətn təlimatları əvəzinə, autopwn mövzusunda olduqca məşhur olan bir video əlavə edəcəyəm
Və ya sadəcə olaraq bizə lazım olan istismarın işini avtomatlaşdıra bilərik. Məsələn:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Əslində, bu çərçivənin imkanları çox genişdir, buna görə də daha dərinə getmək qərarına gəlsəniz,
Armitaj
— Metasploit üçün kiberpunk janrının GUI OVA. Hədəfi vizuallaşdırır, istismarları tövsiyə edir və çərçivənin qabaqcıl xüsusiyyətlərini təmin edir. Ümumiyyətlə, hər şeyin gözəl və təsirli görünməsini sevənlər üçün.
Ekran görüntüsü:
Davamlı Nessus®
- çox şey edə bilər, lakin bizə lazım olan imkanlardan biri hansı xidmətlərin istismara malik olduğunu müəyyən etməkdir. "Yalnız evdə" məhsulun pulsuz versiyası
İstifadəsi:
- Yüklənmiş (sisteminiz üçün), quraşdırılmış, qeydiyyatdan keçmişdir (açar e-poçtunuza göndərilir).
- Serveri işə saldı, istifadəçini Nessus Server Manager-ə əlavə etdi (İstifadəçiləri idarə et düyməsi)
- Ünvana gedirik
https://localhost:8834/
və brauzerdə flash müştəri əldə edin
- Skanlar -> Əlavə et -> sahələri doldurun (bizə uyğun olan skan profilini seçməklə) və Scan düyməsini klikləyin
Bir müddət sonra skan hesabatı Hesabatlar sekmesinde görünəcək
Xidmətlərin istismarlara qarşı praktik zəifliyini yoxlamaq üçün siz yuxarıda təsvir olunan Metasploit Çərçivəsindən istifadə edə və ya istismarı tapmağa cəhd edə bilərsiniz (məsələn, , , və s.) və qarşı əl ilə istifadə edin onun sistemi
IMHO: çox həcmli. Mən onu proqram sənayesinin bu istiqamətdə liderlərindən biri kimi gətirdim.
Enjeksiyonların avtomatlaşdırılması
Bir çox veb proqram skaneri inyeksiya üçün axtarış aparır, lakin onlar hələ də ümumi skanerlərdir. Xüsusilə inyeksiyaların axtarışı və istismarı ilə məşğul olan kommunal xidmətlər var. İndi onlar haqqında danışacağıq.
sqlmap
— SQL inyeksiyalarının axtarışı və istismarı üçün açıq mənbəli yardım proqramı. MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB kimi verilənlər bazası serverlərini dəstəkləyir.
Tipik istifadə xətti aşağı düşür:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Rus dilində də daxil olmaqla kifayət qədər dərslik var. Proqram bu sahədə işləyərkən pentesterin işini xeyli asanlaşdırır.
Rəsmi video nümayişi əlavə edəcəyəm:
bsqlbf-v2
— perl skripti, “kor” Sql inyeksiyaları üçün qəddar qüvvə. O, həm url-də tam dəyərlərlə, həm də sətir dəyərləri ilə işləyir.
Verilənlər bazası dəstəklənir:
- MS-SQL
- MySQL
- PostgreSQL
- Kahin
İstifadə nümunəsi:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Parametrlərlə əlaqə
-kor u — inyeksiya üçün parametr (defolt olaraq sonuncusu ünvan çubuğundan götürülür)
-sql "imformation_schema.tables limitindən table_name seçin 1 ofset 0" — verilənlər bazasına ixtiyari sorğumuz
- verilənlər bazası 1 — verilənlər bazası serveri: MSSQL
-tip 1 — Hücum növü, Doğru və Xəta (məsələn, sintaksis səhvləri) cavablarına əsaslanan “kor” inyeksiya
Sazlayıcılar
Bu alətlər əsasən tərtibatçılar tərəfindən kodlarının icrasının nəticələri ilə bağlı problem yarandıqda istifadə olunur. Ancaq bu istiqamət həm də pentestinq üçün faydalıdır, o zaman ehtiyac duyduğumuz məlumatları tez bir zamanda əvəz edə bildiyimiz zaman, giriş parametrlərimizə cavab olaraq gələnləri təhlil edə bilərik (məsələn, fuzzing zamanı) və s.
Burp Suite
— nüfuz testlərində kömək edən bir sıra kommunal xidmətlər. İnternetdədir Raz0r-dan rus dilində (2008-ci il üçün).
Pulsuz versiyaya daxildir:
- Burp Proxy brauzerdən artıq yaradılan sorğuları dəyişdirməyə imkan verən yerli proksidir
- Burp Spider - hörümçək, mövcud faylları və qovluqları axtarır
- Burp Repeater - HTTP sorğularının əl ilə göndərilməsi
- Burp Sequencer - formalarda təsadüfi dəyərləri təhlil edir
- Burp Decoder standart kodlayıcı-dekoderdir (html, base64, hex və s.), onlardan minlərlə var, istənilən dildə tez yazıla bilər.
- Burp Comparer - Simli Müqayisə Komponenti
Prinsipcə, bu paket demək olar ki, bu sahə ilə bağlı bütün problemləri həll edir.
skripkaçalan
— Fiddler bütün HTTP(S) trafikini qeyd edən sazlama proksisidir. Bu trafiki yoxlamağa, kəsilmə nöqtələrini təyin etməyə və daxil olan və ya gedən məlumatlarla "oynamağa" imkan verir.
da var , canavar və digərləri, seçim istifadəçidən asılıdır.
Nəticə
Təbii ki, hər bir pentesterin öz arsenalı və öz kommunal dəsti var, çünki onların çoxu var. Ən rahat və populyar olanları sadalamağa çalışdım. Ancaq hər kəs bu istiqamətdə digər kommunal xidmətlərlə tanış ola bilməsi üçün aşağıdakı linkləri təqdim edəcəyəm.
Skanerlərin və kommunal proqramların müxtəlif zirvələri/siyahıları
- .
Artıq bir sıra müxtəlif pentesting kommunallarını ehtiva edən Linux paylamaları
yeniləndi: “Hack4Sec” komandasından rus dilində (əlavə )
P.S. XSpider haqqında səssiz qala bilmərik. Şərh proqram olsa da, nəzərdən keçirmədə iştirak etmir (məqaləni SecLab-a göndərəndə bildim, əslində buna görə (bilik deyil və ən son versiya 7.8 olmaması) və məqaləyə daxil etməmişəm). Və nəzəri olaraq, onun nəzərdən keçirilməsi planlaşdırılırdı (bunun üçün hazırladığım çətin sınaqlar var), amma dünyanın bunu görüb-görməyəcəyini bilmirəm.
P.P.S. Məqalədəki bəzi materiallardan qarşıdan gələn hesabatda təyinatı üzrə istifadə ediləcək 2012-ci ilin QA bölməsində, burada qeyd olunmayan alətlər (təbii ki, pulsuz), həmçinin alqoritm, hansı ardıcıllıqla nədən istifadə etmək, hansı nəticəni gözləmək, hansı konfiqurasiyalardan istifadə etmək və nə zaman hər cür göstərişlər və tövsiyələr var. işləyirəm (hesabat haqqında demək olar ki, hər gün düşünürəm, mövzunun ən yaxşısını sizə danışmağa çalışacağam)
Yeri gəlmişkən, bu məqalə ilə bağlı bir dərs var idi InfoSec Günlərini açın (, ), bacarmaq korovalıları qarət edin bax .
Mənbə: www.habr.com