Wapiti - самостоятелно проверява сайт за уязвимости

В последния Статия говорихме за Nemesida WAF Безплатно - безплатен инструмент за защита на уебсайтове и API от хакерски атаки и в този решихме да прегледаме популярен скенер за уязвимости канадски елен.

Сканирането на уебсайт за уязвимости е необходима мярка, която, съчетана с анализ на изходния код, ви позволява да оцените нивото на неговата сигурност срещу заплахи от компрометиране. Можете да сканирате уеб ресурс с помощта на специализирани инструменти.

Nikto, W3af (написано на Python 2.7, който вече не се поддържа) или Arachni (вече не се поддържа от февруари) са най-популярните решения, представени в безплатния сегмент. Разбира се, има и други, например Wapiti, върху които решихме да се съсредоточим.

Wapiti работи със следните типове уязвимости:

• разширяване на файлове (локални и отдалечени, fopen, readfile);
• инжекции (PHP / JSP / ASP / SQL инжектиране и XPath инжектиране);
• XSS (Cross Site Scripting) (отразяващ и постоянен);
• откриване и изпълнение на команди (eval(), system(), passtru());
• CRLF инжекции (разделяне на HTTP отговор, фиксиране на сесия);
• XXE (XML външен обект) вграждане;
• SSRF (Фалшифициране на заявки от страна на сървъра);
• използване на известни потенциално опасни файлове (благодарение на базата данни Nikto);
• слаби .htaccess конфигурации, които могат да бъдат заобиколени;
• наличието на архивни файлове, които разкриват поверителна информация (разкриване на изходния код);
• Shellshock;
• отворени пренасочвания;
• нестандартни HTTP методи, които могат да бъдат разрешени (PUT).

Характеристики:

• HTTP, HTTPS и SOCKS5 прокси поддръжка;
• удостоверяване чрез няколко метода: Basic, Digest, Kerberos или NTLM;
• възможност за ограничаване на областта за сканиране (домейн, папка, страница, URL);
• автоматично премахване на един от параметрите в URL адреса;
• множество предпазни мерки срещу безкрайни цикли на сканиране (пример: ifor, ограничаващи стойности за параметър);
• възможност за задаване на приоритет за проверка на URL адреси (дори ако не са в зоната за сканиране);
• възможност за изключване на някои URL адреси от сканиране и атаки (например: URL излизане);
• импортирайте бисквитки (вземете ги с помощта на инструмента wapiti-getcookie);
• възможност за активиране/деактивиране на проверка на SSL сертификат;
• възможност за извличане на URL адреси от JavaScript (много прост JS интерпретатор);
• взаимодействие с HTML5;
• няколко опции за управление на поведението и ограниченията на робота;
• задаване на максимално време за процеса на сканиране;
• добавяне на някои персонализирани HTTP заглавки или настройка на персонализиран потребителски агент.

Допълнителни функции:

• създаване на доклади за уязвимости в различни формати (HTML, XML, JSON, TXT);
• пауза и възобновяване на сканиране или атака (механизъм на сесия, използващ бази данни SQLite3);
• подсветка в терминала за подчертаване на уязвимостите;
• различни нива на регистриране;
• Бърз и лесен начин за активиране/деактивиране на атакуващи модули.

Инсталация

Текущата версия на Wapiti може да бъде инсталирана по 2 начина:

• изтеглете източника от официалния сайта и стартирайте инсталационния скрипт, като преди това сте инсталирали Python3;
• с помощта на командата pip3 install wapiti3.

След това Wapiti ще бъде готов за работа.

Работа с инструмента

За да демонстрираме работата на Wapiti, ще използваме специално подготвен щанд sites.vulns.pentestit.ru (вътрешен ресурс), съдържащ различни уязвимости (Injection, XSS, LFI/RFI) и други недостатъци на уеб приложенията.

Информацията е предоставена само за информационни цели. Не нарушавайте закона!

Основна команда за стартиране на скенера:

# wapiti -u <target> <options>

В същото време има доста подробна помощ с огромен брой опции за стартиране, например:

--обхват - област на приложение
Ако посочите параметъра за обхват заедно с URL адреса за обхождане, можете да коригирате областта за обхождане на сайта, като посочите както една страница, така и всички страници, които могат да бъдат намерени на сайта.

-s и -x — опции за добавяне или премахване на конкретни URL адреси. Тези опции са полезни, когато трябва да добавите или премахнете конкретен URL адрес по време на процеса на обхождане.

--пропускане — посоченият параметър с този ключ ще бъде сканиран, но няма да бъде атакуван. Полезно, ако има опасни параметри, които е най-добре да изключите по време на сканиране.

--verify-ssl — активиране или деактивиране на проверката на сертификата.
Скенерът Wapiti е модулен. Въпреки това, за да стартирате конкретни модули, включително тези, които се свързват автоматично, докато скенерът работи, трябва да използвате ключа -m и да изброите тези, от които се нуждаете, разделени със запетаи. Ако ключът не се използва, тогава всички модули ще работят по подразбиране. В най-простата версия ще изглежда така:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Този пример за използване означава, че ще използваме само модулите SQL, XSS и XXE, когато сканираме целта. Освен това можете да филтрирате работата на модулите в зависимост от желания метод. Например -m “xss: get, blindsql: post, xxe: post”. В този случай модулът XSS ще се прилага за заявки, изпратени чрез метода GET, и модула blibdsql - към POST заявки и др. Между другото, ако някой модул, включен в списъка, не е бил необходим по време на сканирането или отнема много време, тогава чрез натискане на комбинацията Ctrl+C можете да пропуснете използването на текущия модул, като изберете съответния елемент в интерактивното меню.

Wapiti поддържа предаване на заявки през прокси чрез ключ -p и удостоверяване на целевия сайт чрез параметъра -a. Можете също да посочите типа удостоверяване: Основен, резюме, Kerberos и NTLM. Последните две може да изискват инсталирането на допълнителни модули. Освен това можете да вмъкнете всякакви заглавки в заявки (включително произволни User-Agent) и още много.

За да използвате удостоверяване, можете да използвате инструмента wapiti-getcookie. С негова помощ оформяме курабийка, който Wapiti ще използва при сканиране. Формиране курабийка направено с командата:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

Докато работим интерактивно, ние отговаряме на въпроси и посочваме необходимата информация като потребителско име, парола и др.:

Резултатът е файл във формат JSON. Друг вариант е да добавите цялата необходима информация чрез параметъра -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Резултатът ще бъде подобен:

Когато разглеждаме основната функционалност на скенера, последната заявка за тестване на уеб приложението в нашия случай беше:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

където наред с други параметри:

-f и -o — формат и път за запис на отчета;

-m — свързването на всички модули не се препоръчва, т.к ще повлияе на времето за тестване и размера на отчета;

-- цвят — подчертаване на откритите уязвимости в зависимост от тяхната критичност според самия Wapiti;

-c - използване на файл с курабийка, генериран с помощта на wapiti-getcookie;

--обхват — избор на цел за нападение. Избор на опция папка Всеки URL ще бъде обходен и атакуван, като се започне от основния. Основният URL трябва да има наклонена черта (без име на файл);

--флъш-сесия — позволява многократно сканиране, при което предишни резултати няма да се вземат предвид;

-A - собствен User-Agent;

-p — адрес на прокси сървър, ако е необходимо.

Малко за доклада

Резултатът от сканирането се представя под формата на подробен доклад за всички открити уязвимости във формат на HTML страница, в ясна и лесна за четене форма. Докладът ще посочи категориите и броя на откритите уязвимости, техните описания, заявки, команди за Curl и съвети как да ги затворите. За по-лесна навигация към имената на категориите ще бъде добавена връзка, като кликнете върху която можете да отидете до нея:

Съществен недостатък на отчета е липсата на карта на уеб приложението като такава, без която няма да е ясно дали всички адреси и параметри са анализирани. Има и възможност за фалшиви положителни резултати. В нашия случай отчетът включва „архивни файлове“ и „потенциално опасни файлове“. Техният брой не отговаря на действителността, тъй като на сървъра нямаше такива файлове:

Може би неправилно работещите модули ще бъдат коригирани с течение на времето. Друг недостатък на доклада е липсата на оцветяване на откритите уязвимости (в зависимост от тяхната критичност) или поне разделянето им на категории. Единственият начин, по който можем индиректно да разберем критичността на откритата уязвимост, е да използваме параметъра -- цвят по време на сканиране и след това намерените уязвимости ще бъдат оцветени в различни цветове:

Но самият доклад не предоставя такова оцветяване.

Уязвимости

SQLi

Скенерът частично се справи с SQLi търсенето. При търсене на SQL уязвимости на страници, където не се изисква удостоверяване, не възникват проблеми:

Не беше възможно да се намери уязвимост на страници, достъпни само след удостоверяване, дори при използване на valid курабийка, тъй като най-вероятно след успешно удостоверяване тяхната сесия ще бъде „излязла“ и курабийка ще стане невалиден. Ако функцията за деавторизация беше внедрена като отделен скрипт, отговорен за обработката на тази процедура, тогава би било възможно тя напълно да се изключи чрез параметъра -x и по този начин да се предотврати задействането й. В противен случай няма да е възможно да се изключи обработката му. Това не е проблем с конкретен модул, а с инструмента като цяло, но поради този нюанс не беше възможно да се открият няколко инжекции в затворена ресурсна зона.

XSS

Скенерът се справи отлично с поставената задача и откри всички подготвени уязвимости:

LFI/RFI

Скенерът откри всички основни уязвимости:

Като цяло, въпреки фалшивите положителни резултати и липсващите уязвимости, Wapiti, като безплатен инструмент, показва доста добри резултати в производителността. Във всеки случай си струва да се признае, че скенерът е доста мощен, гъвкав и многофункционален и най-важното е, че е безплатен, така че има право да се използва в помощ на администраторите и разработчиците да получат основна информация за състоянието на сигурността на уеб приложение.

Бъдете здрави и защитени!

Източник: www.habr.com