ProHoster > Блог > Pagdumala > Pagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2

Pagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2

Kaniadto gisulat ko ang bahin sa kini, pero gamay ug gubot. Pagkahuman, nakahukom ko nga palapdan ang lista sa mga himan sa pagrepaso, idugang ang istruktura sa artikulo, ug tagdon ang pagsaway (daghang salamat Lefty alang sa tambag) ug gipadala kini sa usa ka kompetisyon sa SecLab (ug gipatik link, apan sa tanang dayag nga rason walay nakakita kaniya). Ang kompetisyon nahuman na, ang mga resulta gipahibalo ug uban sa usa ka tin-aw nga tanlag mahimo ko nga imantala kini (ang artikulo) sa Habré.

Libre nga Web Application Pentester Tools

Niini nga artikulo maghisgot ako bahin sa labing inila nga mga himan alang sa pentesting (mga pagsulay sa pagsulod) sa mga aplikasyon sa web gamit ang estratehiya nga "itom nga kahon".
Aron mahimo kini, atong tan-awon ang mga utilities nga makatabang sa kini nga klase sa pagsulay. Tagda ang mosunod nga mga kategoriya sa produkto:

  1. Mga scanner sa network
  2. Mga scanner sa paglapas sa script sa web
  3. Pagpahimulos
  4. Automation sa mga injection
  5. Debuggers (sniffers, lokal nga proxy, etc.)


Ang ubang mga produkto adunay usa ka unibersal nga "kinaiya", mao nga akong iklasipikar sila sa kategorya diin sila adunay aоmas maayo nga resulta (subjective opinion).

Mga scanner sa network.

Ang panguna nga tahas mao ang pagdiskubre sa magamit nga mga serbisyo sa network, pag-install sa ilang mga bersyon, pagtino sa OS, ug uban pa.

NmapPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Nmap ("Network Mapper") usa ka libre ug bukas nga gigikanan nga gamit alang sa pagtuki sa network ug pag-audit sa seguridad sa sistema. Ang mapintas nga mga kaatbang sa console mahimong mogamit sa Zenmap, nga usa ka GUI alang sa Nmap.
Dili lang kini usa ka "smart" scanner, kini usa ka seryoso nga magamit nga himan (usa sa mga "talagsaon nga bahin" mao ang presensya sa usa ka script alang sa pagsusi sa usa ka node alang sa presensya sa usa ka ulod "Stuxnet"(gihisgot dinhi). Tipikal nga pananglitan sa paggamit:

nmap -A -T4 localhost

-A alang sa OS version detection, script scanning ug pagsubay
-T4 time control setting (mas paspas, gikan sa 0 hangtod 5)
localhost - target host
Usa ka butang nga mas lisud?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Kini usa ka hugpong sa mga kapilian gikan sa "hinay nga komprehensibo nga pag-scan" nga profile sa Zenmap. Nagkinahanglan kini og taas nga panahon aron makompleto, apan sa katapusan naghatag og mas detalyado nga impormasyon nga mahibal-an mahitungod sa target nga sistema. Giya sa Tabang sa Russian, kung magdesisyon ka nga maglalom, girekomenda usab nako ang paghubad sa artikulo Giya sa Nagsugod sa Nmap.
Ang Nmap nakadawat og status nga "Security Product of the Year" gikan sa mga magasin ug komunidad sama sa Linux Journal, Info World, LinuxQuestions.Org ug Codetalker Digest.
Usa ka makapaikag nga punto, ang Nmap makita sa mga pelikula nga "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" ug sa uban nga mga.

IP-Mga HimanPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
IP-Mga Himan - usa ka matang sa set sa lain-laing mga network utilities, moabut uban sa usa ka GUI, "gipahinungod" sa Windows tiggamit.
Port scanner, shared resources (shared printers/folders), WhoIs/Finger/Lookup, telnet client ug daghan pa. Usa ra ka kombenyente, paspas, magamit nga himan.

Wala’y partikular nga punto sa pagkonsiderar sa ubang mga produkto, tungod kay adunay daghang mga kagamitan sa kini nga lugar ug silang tanan adunay parehas nga mga prinsipyo sa operasyon ug pagpaandar. Bisan pa, ang nmap nagpabilin nga labing sagad nga gigamit.

Mga scanner sa paglapas sa script sa web

Pagsulay sa pagpangita sa popular nga mga kahuyangan (SQL inj, XSS, LFI/RFI, ug uban pa) o mga sayop (dili matangtang temporaryo nga mga file, directory indexing, ug uban pa)

Acunetix Web Vulnerability ScannerPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Acunetix Web Vulnerability Scanner — gikan sa link imong makita nga kini usa ka xss scanner, apan kini dili hingpit nga tinuod. Ang libre nga bersyon, nga magamit dinhi, naghatag daghang mga gamit. Kasagaran, ang tawo nga nagpadagan niini nga scanner sa unang higayon ug nakadawat og report sa ilang kahinguhaan sa unang higayon makasinati og gamay nga kakurat, ug imong masabtan ngano sa higayon nga imong buhaton kini. Kini usa ka kusgan kaayo nga produkto alang sa pag-analisar sa tanan nga mga matang sa mga kahuyangan sa usa ka website ug nagtrabaho dili lamang sa naandan nga mga website sa PHP, apan usab sa ubang mga lengguwahe (bisan kung ang kalainan sa pinulongan dili usa ka timailhan). Walay partikular nga punto sa paghubit sa mga instruksyon, tungod kay ang scanner "nagpunit" sa mga aksyon sa tiggamit. Usa ka butang nga susama sa "sunod, sunod, sunod, andam" sa usa ka tipikal nga pag-instalar sa software.

NiktoPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Nikto Kini usa ka Open Source (GPL) web crawler. Giwagtang ang naandan nga manwal nga trabaho. Gipangita sa target nga site alang sa wala matangtang nga mga script (pipila ka pagsulay.php, index_.php, ug uban pa), mga gamit sa pagdumala sa database (/phpmyadmin/, /pma ug uban pa), ug uban pa, nga mao, gisusi ang kapanguhaan alang sa labing kasagaran nga mga sayup kasagaran tungod sa mga hinungdan sa tawo.
Dugang pa, kung makit-an ang pipila ka sikat nga script, susihon kini alang sa gipagawas nga mga pagpahimulos (nga naa sa database).
Magamit ang mga taho nga "dili gusto" nga mga pamaagi sama sa PUT ug TRACE
Ug uban pa. Kombenyente kaayo kung nagtrabaho ka ingon usa ka auditor ug mag-analisar sa mga website matag adlaw.
Sa mga minus, gusto nakong timan-an ang taas nga porsyento sa mga sayup nga positibo. Pananglitan, kung ang imong site kanunay nga naghatag sa panguna nga sayup imbis sa usa ka sayup nga 404 (kung kanus-a kini mahitabo), ang scanner moingon nga ang imong site adunay tanan nga mga script ug tanan nga mga kahuyangan gikan sa database niini. Sa praktis, dili kini mahitabo kanunay, apan sa pagkatinuod, daghan ang nagdepende sa istruktura sa imong site.
Classic nga paggamit:

./nikto.pl -host localhost

Kung kinahanglan ka nga awtorisado sa site, mahimo nimong ibutang ang usa ka cookie sa nikto.conf file, ang variable nga STATIC-COOKIE.

WiktoPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Wikto — Nikto alang sa Windows, apan adunay pipila nga mga pagdugang, sama sa "fuzzy" nga lohika kung susihon ang code alang sa mga sayup, gamit ang GHDB, pagkuha mga link ug mga folder sa kapanguhaan, real-time nga pag-monitor sa mga hangyo / tubag sa HTTP. Ang Wikto gisulat sa C# ug nagkinahanglan sa .NET framework.

skipfishPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
skipfish - web vulnerability scanner gikan sa Michal Zalewski (nailhan nga lcamtuf). Gisulat sa C, cross-platform (Win nagkinahanglan Cygwin). Recursively (ug sa dugay nga panahon, mga 20 ~ 40 ka oras, bisan kung ang katapusan nga oras nga nagtrabaho alang kanako mao ang 96 ka oras) kini nagakamang sa tibuuk nga site ug nakit-an ang tanan nga mga lahi sa mga lungag sa seguridad. Naghimo usab kini og daghang trapiko (daghang GB nga umaabot / paggawas). Apan ang tanan nga paagi maayo, labi na kung adunay ka oras ug kahinguhaan.
Kasagarang Paggamit:

./skipfish -o /home/reports www.example.com

Sa "reports" folder adunay usa ka report sa html, usa ka panig-ingnan.

w3af Pagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
w3af - Pag-atake sa Aplikasyon sa Web ug Framework sa Pag-audit, open-source nga web vulnerability scanner. Kini adunay usa ka GUI, apan mahimo ka magtrabaho gikan sa console. Sa mas tukma, kini usa ka balangkas nga adunay usa ka hugpong sa mga plugins.
Mahimo nimong hisgutan ang bahin sa mga bentaha niini sa dugay nga panahon, mas maayo nga sulayan kini :] Ang kasagaran nga trabaho kauban niini moabut sa pagpili sa usa ka profile, pagtino sa usa ka katuyoan ug, sa tinuud, paglansad niini.

Mantra Security FrameworkPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Mantra usa ka damgo nga natuman. Usa ka koleksyon sa libre ug bukas nga mga himan sa seguridad sa impormasyon nga gitukod sa usa ka web browser.
Mapuslanon kaayo kung pagsulay sa mga aplikasyon sa web sa tanan nga mga yugto.
Ang paggamit nagsugod sa pag-instalar ug paglansad sa browser.

Sa tinuud, adunay daghang mga gamit sa kini nga kategorya ug lisud ang pagpili sa usa ka piho nga lista gikan kanila. Kasagaran, ang matag pentester mismo ang nagtino sa hugpong sa mga himan nga iyang gikinahanglan.

Pagpahimulos

Alang sa automated ug mas sayon ​​nga pagpahimulos sa mga kahuyangan, ang mga pagpahimulos gisulat sa software ug mga script, nga kinahanglan lamang nga ipasa ang mga parameter aron mapahimuslan ang lungag sa seguridad. Ug adunay mga produkto nga nagwagtang sa panginahanglan sa mano-mano nga pagpangita alang sa mga pagpahimulos, ug bisan sa paggamit niini sa langaw. Kini nga kategorya hisgotan na karon.

Metasploit Framework Pagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Ang Metasploit® Framework - usa ka matang sa mangtas sa among negosyo. Daghan kaayo siyag mahimo nga ang mga instruksiyon magkobre ug daghang artikulo. Atong tan-awon ang awtomatik nga pagpahimulos (nmap + metasploit). Ang punto mao kini: Ang Nmap mag-analisar sa pantalan nga atong gikinahanglan, mag-instalar sa serbisyo, ug ang metasploit mosulay sa paggamit sa mga pagpahimulos niini base sa klase sa serbisyo (ftp, ssh, ug uban pa). Imbis nga mga panudlo sa teksto, magbutang ako usa ka video, labi ka sikat sa hilisgutan nga autopwn

O mahimo ra natong i-automate ang operasyon sa pagpahimulos nga atong gikinahanglan. Pananglitan:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run

Sa pagkatinuod, ang mga kapabilidad niini nga gambalay kay halapad kaayo, mao nga kon ikaw modesisyon sa pag-adto sa mas lawom, adto sa link

PagmitingPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Pagmiting - OVA sa cyberpunk genre GUI alang sa Metasploit. Gitan-aw ang target, girekomenda ang mga pagpahimulos ug naghatag mga advanced nga bahin sa balangkas. Sa kinatibuk-an, alang niadtong gusto sa tanan nga tan-awon nga matahum ug impresibo.
Screencast:

Makapalig-on nga Nessus®Pagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Maagwanta nga Nessus® vulnerability scanner - makahimo og daghang mga butang, apan usa sa mga kapabilidad nga atong gikinahanglan gikan niini mao ang pagtino kung unsang mga serbisyo ang adunay mga pagpahimulos. Libre nga bersyon sa produkto nga "balay lamang"

Paggamit:

  • Gi-download (alang sa imong sistema), gi-install, narehistro (ang yawe gipadala sa imong email).
  • Gisugdan ang server, gidugang ang tiggamit sa Nessus Server Manager (Buton sa pagdumala sa mga tiggamit)
  • Adto mi sa adres 
    https://localhost:8834/

    ug kuhaa ang flash client sa browser

  • Mga Scan -> Idugang -> pun-a ang mga uma (pinaagi sa pagpili sa profile sa pag-scan nga angay kanamo) ug i-klik ang Scan

Human sa pipila ka panahon, ang scan report makita sa Reports tab
Aron masusi ang praktikal nga pagkahuyang sa mga serbisyo sa pagpahimulos, mahimo nimong gamiton ang Metasploit Framework nga gihulagway sa ibabaw o pagsulay sa pagpangita og usa ka pagpahimulos (pananglitan, sa Explot-db, packet bagyo, explot pagpangita ug uban pa) ug gamita kini sa kamut batok sistema niini
IMHO: dako kaayo. Gidala ko siya isip usa sa mga lider niini nga direksyon sa industriya sa software.

Automation sa mga injection

Daghan sa mga web app sec scanner nangita alang sa mga indeyksiyon, apan kini mga general scanner lang gihapon. Ug adunay mga utilities nga espesipikong naghisgot sa pagpangita ug pagpahimulos sa mga injection. Atong hisgotan sila karon.

sqlmapPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
sqlmap — open-source utility para sa pagpangita ug pagpahimulos sa SQL injection. Nagsuporta sa mga database server sama sa: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Ang kasagarang paggamit kay hangtod sa linya:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Adunay igo nga mga manwal, lakip ang Russian. Ang software labi nga nagpadali sa trabaho sa usa ka pentester kung nagtrabaho sa kini nga lugar.
Magdugang ako usa ka opisyal nga demonstrasyon sa video:

bsqlbf-v2
bsqlbf-v2 - usa ka perl script, usa ka brute forcer alang sa "buta" nga Sql injection. Naglihok kini pareho nga adunay mga integer nga kantidad sa url ug adunay mga kantidad sa string.
Gisuportahan ang database:

  • MS-SQL
  • MySQL
  • PostgreSQL
  • pulong sa Dios

Pananglitan sa paggamit:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

-url www.somehost.com/blah.php?u=5 - Pag-link sa mga parameter
- buta ka - parameter alang sa indeyksiyon (sa default ang katapusan gikuha gikan sa address bar)
-sql "pilia ang table_name gikan sa imformation_schema.tables limit 1 offset 0" — ang among arbitraryong hangyo sa database
- database 1 — database server: MSSQL
- tipo 1 — matang sa pag-atake, “buta” nga pag-injection, base sa True and Error (pananglitan, syntax errors) nga mga tubag

Mga debugger

Kini nga mga himan kasagarang gigamit sa mga developers kung sila adunay mga problema sa mga resulta sa pagpatuman sa ilang code. Apan kini nga direksyon mapuslanon usab alang sa pentesting, kung mahimo naton ilisan ang datos nga kinahanglan naton sa langaw, analisa kung unsa ang tubag sa atong mga parameter sa input (pananglitan, sa panahon sa pag-fuzzing), ug uban pa.

Burp Suite
Burp Suite - usa ka hugpong sa mga utilities nga makatabang sa mga pagsulay sa pagsulod. Anaa kini sa Internet maayong review sa Russian gikan sa Raz0r (bisan pa sa 2008).
Ang libre nga bersyon naglakip sa:

  • Ang Burp Proxy usa ka lokal nga proxy nga nagtugot kanimo sa pag-usab sa nahimo na nga mga hangyo gikan sa browser
  • Burp Spider - spider, nangita alang sa naa na nga mga file ug direktoryo
  • Burp Repeater - mano-mano nga pagpadala sa mga hangyo sa HTTP
  • Burp Sequencer - pag-analisar sa mga random nga kantidad sa mga porma
  • Ang Burp Decoder usa ka standard nga encoder-decoder (html, base64, hex, ug uban pa), diin adunay liboan, nga dali nga masulat sa bisan unsang pinulongan
  • Burp Comparer - String Comparison Component

Sa prinsipyo, kini nga pakete nagsulbad sa hapit tanan nga mga problema nga may kalabutan sa kini nga lugar.

FiddlerPagrepaso sa libre nga mga himan alang sa pagtesting sa mga kapanguhaan sa web ug uban pa v2
Fiddler — Ang Fiddler usa ka debugging proxy nga nag-log sa tanan nga trapiko sa HTTP(S). Gitugotan ka sa pagsusi niini nga trapiko, pagtakda sa mga breakpoint ug "pagdula" sa umaabot o paggawas nga datos.

Adunay usab Firesheep, mangtas Wireshark ug uban pa, ang pagpili naa sa tiggamit.

konklusyon

Natural, ang matag pentester adunay kaugalingon nga arsenal ug kaugalingon nga hugpong sa mga gamit, tungod kay adunay daghan niini. Gisulayan nako nga ilista ang pipila nga labing kombenyente ug popular. Apan aron ang bisan kinsa mahimong pamilyar sa ilang kaugalingon sa ubang mga utilities sa kini nga direksyon, maghatag ako mga link sa ubos.

Nagkalainlain nga mga tumoy / lista sa mga scanner ug mga gamit

Ang mga pag-apod-apod sa Linux nga naglakip na sa usa ka hugpong sa lainlaing mga gamit sa pentesting

update: Dokumentasyon sa BurpSuite sa Russian gikan sa "Hack4Sec" team (gidugang AntonKuzmin)

PS Dili kami makahilom bahin sa XSpider. Dili moapil sa pagrepaso, bisan kini shareware (nahibal-an nako sa dihang gipadala nako ang artikulo sa SecLab, sa tinuud tungod niini (dili kahibalo, ug kakulang sa pinakabag-o nga bersyon 7.8) ug wala kini gilakip sa artikulo). Ug sa teorya, usa ka pagrepaso niini giplano (ako adunay lisud nga mga pagsulay nga giandam alang niini), apan wala ko mahibal-an kung makita ba kini sa kalibutan.

PPS Ang ubang materyal gikan sa artikulo gamiton alang sa gituyo nga katuyoan niini sa umaabot nga taho sa CodeFest 2012 sa QA nga seksyon, nga adunay sulod nga mga himan nga wala gihisgutan dinhi (libre, siyempre), ingon man ang algorithm, sa unsa nga pagkasunod-sunod nga gamiton kung unsa, unsa nga resulta ang madahom, unsa nga mga configuration ang gamiton ug ang tanan nga mga matang sa mga pahiwatig ug mga limbong kung kanus-a. nagtrabaho (Naghunahuna ko bahin sa taho hapit kada adlaw, sulayan nako nga isulti kanimo ang tanan nga labing kaayo bahin sa hilisgutan nga hilisgutan)
Pinaagi sa dalan, adunay usa ka leksyon niini nga artikulo sa Ablihi ang InfoSec Days (tag sa Habré, website), Mahimo kawatan ang mga Korovan tan-awa mga materyales.

Source: www.habr.com

Idugang sa usa ka comment