ProHoster > Blog > Amministrazione > Strumenti Web, o induve principiatu cum'è un pentester?

Strumenti Web, o induve principiatu cum'è un pentester?

Se continuu parlà di strumenti utili per i pentesters. In u novu articulu, guardemu i strumenti per analizà a sicurità di l'applicazioni web.

U nostru cumpagnu BeLove Aghju digià fattu qualcosa cusì compilation circa sette anni fà. Hè interessante per vede quale arnesi anu ritenutu è rinfurzatu e so pusizioni, è quali sò sbulicati in u sfondate è avà sò raramente utilizati.
Strumenti Web, o induve principiatu cum'è un pentester?

Nota chì questu include ancu Burp Suite, ma ci sarà una publicazione separata nantu à questu è i so plugins utili.

Contenuti:

Amassà

Amassà - un strumentu Go per a ricerca è l'enumerazione di i subdominii DNS è a mappa di a reta esterna. Amass hè un prughjettu OWASP cuncepitu per dimustrà ciò chì l'urganisazioni in Internet parenu à un esterno. Amass ottiene nomi di sottodomini in vari modi; l'uttellu usa sia l'enumerazione recursiva di i sottodominii sia e ricerche open source.

Per scopre i segmenti di rete interconnessi è i numeri di sistema autonomi, Amass usa l'indirizzi IP ottenuti durante l'operazione. Tutte l'infurmazioni truvate sò aduprate per custruisce una mappa di a rete.

Pros:

  • E tecniche di raccolta di informazioni includenu:
    * DNS - ricerca di dizziunariu di sottodominii, sottodominii bruteforce, ricerca intelligente cù mutazioni basate nantu à i sottodominii trovati, dumande DNS inverse è ricerca di servitori DNS induve hè pussibule di fà una dumanda di trasferimentu di zona (AXFR);

    * Ricerca open source - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

    * Ricerca in basa di dati di certificati TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;

    * Utilizendu l'API di u mutore di ricerca - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

    * Ricerca in l'archivi web in Internet: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

  • Integrazione cù Maltego;
  • Fornisce a cobertura più cumpleta di u compitu di ricerca di subdominii DNS.

Cons:

  • Attenti à amass.netdomains - pruverà à cuntattà ogni indirizzu IP in l'infrastruttura identificata è uttene nomi di domini da ricerche DNS inverse è certificati TLS. Questa hè una tecnica "altu prufilu", pò revelà e vostre attività di intelligenza in l'urganizazione sottu investigazione.
  • Altu cunsumu di memoria, pò cunsumà finu à 2 GB di RAM in diverse paràmetri, chì ùn vi permettenu micca di eseguisce stu strumentu in u nuvulu in un VDS economicu.

Strumenti Web, o induve principiatu cum'è un pentester?

Altdns

Altdns - un strumentu Python per cumpilà dizionari per enumerazione di sottodominii DNS. Permette di generà parechje varianti di sottodomini cù mutazioni è permutazioni. Per questu, e parolle chì si trovanu spessu in i subdomini sò usati (per esempiu: test, dev, staging), tutte e mutazioni è permutazioni sò appiicati à i subdominii digià cunnisciuti, chì ponu esse sottumessi à l'input Altdns. L'output hè una lista di variazioni di subdomini chì ponu esse, è sta lista pò esse usata dopu per a forza bruta DNS.

Pros:

  • Funziona bè cù grande setti di dati.

acquatone

acquatone - prima era megliu cunnisciutu com'è un altru strumentu per a ricerca di sottodominii, ma l'autore stessu abbandunò questu in favore di l'Ammass susmentioned. Avà l'aquatone hè stata riscritta in Go è hè più orientata à a ricunniscenza preliminare nantu à i siti web. Per fà questu, l'aquatone passa per i duminii specificati è cerca di siti web in diversi porti, dopu chì recullà tutte l'infurmazioni nantu à u situ è ​​piglia una screenshot. Conveniente per a ricunniscenza preliminare rapida di i siti web, dopu chì pudete selezziunà i miri prioritari per attacchi.

Pros:

  • L'output crea un gruppu di fugliali è cartulare chì sò cunvenuti à utilizà quandu si travaglia cù altre arnesi:
    * Rapportu HTML cù screenshots raccolti è tituli di risposta raggruppati per similarità;

    * Un schedariu cù tutti l'URL induve i siti web sò stati truvati;

    * File cù statistiche è dati di pagina;

    * Un cartulare cù fugliali chì cuntenenu intestazioni di risposta da i miri truvati;

    * Un cartulare cù fugliali chì cuntenenu u corpu di a risposta da i miri truvati;

    * Screenshots di siti web truvati;

  • Supporta u travagliu cù rapporti XML da Nmap è Masscan;
  • Utiliza Chrome / Chromium senza testa per rende screenshots.

Cons:

  • Puderà attirà l'attenzione di i sistemi di rilevazione di intrusioni, per quessa hè bisognu di cunfigurazione.

A screenshot hè stata presa per una di e versioni antichi di aquatone (v0.5.0), in quale a ricerca di subdominiu DNS hè stata implementata. E versioni più vechje ponu esse truvate à pagina libera.
Strumenti Web, o induve principiatu cum'è un pentester?

MassDNS

MassDNS hè un altru strumentu per truvà subdominii DNS. A so diferenza principale hè chì face dumande DNS direttamente à parechji resolutori DNS differenti è face cusì à una velocità considerableu.

Pros:

  • Rapidu - capace di risolve più di 350 mila nomi per seconda.

Cons:

  • MassDNS pò causà una carica significativa nantu à i resolutori DNS in usu, chì ponu purtà à pruibizioni di quelli servitori o lagnanze à u vostru ISP. Inoltre, metterà una grande carica nantu à i servitori DNS di a cumpagnia, s'ellu l'anu è si sò rispunsevuli di i duminii chì pruvate di risolve.
  • A lista di risolutori hè attualmente obsoleta, ma se selezziunate i resolutori DNS rotti è aghjunghje novi cunnisciuti, tuttu sarà bè.

Strumenti Web, o induve principiatu cum'è un pentester?
Screenshot di aquatone v0.5.0

nsec3map

nsec3map hè un strumentu Python per ottene una lista completa di domini protetti da DNSSEC.

Pros:

  • Scuprite rapidamente l'ospiti in e zoni DNS cù un numeru minimu di dumande se u supportu DNSSEC hè attivatu in a zona;
  • Include un plugin per John the Ripper chì pò esse usatu per crack the resulting NSEC3 hashes.

Cons:

  • Parechji errori DNS ùn sò micca trattati bè;
  • Ùn ci hè micca una parallelisazione automatica di processà i registri NSEC - avete da dividisce u spaziu di nomi manualmente;
  • Altu cunsumu di memoria.

Acunetix

Acunetix - un scanner di vulnerabilità web chì automatizza u prucessu di verificà a sicurità di l'applicazioni web. Testa l'applicazione per iniezioni SQL, XSS, XXE, SSRF è parechje altre vulnerabilità web. In ogni casu, cum'è qualsiasi altru scanner, una varietà di vulnerabilità web ùn rimpiazza micca un pentester, postu chì ùn pò truvà catene cumplessi di vulnerabili o vulnerabili in logica. Ma copre parechje vulnerabilità diverse, cumprese diverse CVE, chì u pentester puderia esse scurdatu, cusì hè assai cunvenutu per liberà da i cuntrolli di rutina.

Pros:

  • Bassu livellu di falsi pusitivi;
  • I risultati ponu esse esportati cum'è rapporti;
  • Esegue un gran numaru di cuntrolli per diverse vulnerabilità;
  • Scansione parallela di parechji ospiti.

Cons:

  • Ùn ci hè micca un algoritmu di deduplicazione (Acunetix hà da cunsiderà e pagine chì sò identiche in funziunalità per esse diverse, postu chì portanu à diverse URL), ma i sviluppatori sò travagliendu in questu;
  • Richiede a stallazione in un servitore web separatu, chì complica a prova di i sistemi di clientella cù una cunnessione VPN è utilizendu u scanner in un segmentu isolatu di a reta di u cliente locale;
  • U serviziu sottu studiu pò fà u rumore, per esempiu, mandendu troppu vettori d'attaccu à a forma di cuntattu in u situ, cusì complicà assai i prucessi di cummerciale;
  • Hè una suluzione proprietaria è, dunque, micca libera.

Strumenti Web, o induve principiatu cum'è un pentester?

Dirsearch

Dirsearch - un strumentu Python per i cartulari è i fugliali di forza brute nantu à i siti web.

Pros:

  • Pudete distinguishà e pagine veri "200 OK" da e pagine "200 OK", ma cù u testu "pagina micca truvata";
  • Veni cun un dizziunariu praticu chì hà un bonu equilibriu trà a dimensione è l'efficienza di ricerca. Contene percorsi standard cumuni à parechji CMS è stacks di tecnulugia;
  • U so propiu formatu di dizziunariu, chì vi permette di ottene una bona efficienza è flessibilità in l'enumerazione di schedari è cartulari;
  • Output convenient - testu chjaru, JSON;
  • Pò fà throttling - una pausa trà e dumande, chì hè vitale per ogni serviziu debule.

Cons:

  • L'estensioni deve esse passatu cum'è una stringa, chì hè inconveniente si avete bisognu di passà parechje estensioni à una volta;
  • Per utilizà u vostru dizziunariu, hà da esse ligeramente mudificatu à u formatu di dizziunariu Dirsearch per a massima efficienza.

Strumenti Web, o induve principiatu cum'è un pentester?

wfuzz

wfuzz - Fuzzer di l'applicazione web Python. Probabilmente unu di i phasers web più famosi. U principiu hè simplice: wfuzz permette di mette in fasa ogni locu in una dumanda HTTP, chì permette di fasa i paràmetri GET / POST, intestazioni HTTP, cumprese Cookie è altre intestazioni di autentificazione. À u listessu tempu, hè ancu cunvenutu per una forza bruta simplice di cartulari è schedarii, per quale avete bisognu di un bon dizziunariu. Hà ancu un sistema di filtru flexible, cù quale pudete filtrà e risposte da u situ web secondu diversi parametri, chì vi permette di ottene risultati efficaci.

Pros:

  • Multifunzionale - struttura modulare, l'assemblea dura uni pochi di minuti;
  • Meccanisimu di filtrazione è fuzzing convenientu;
  • Pudete fassà ogni metudu HTTP, è ancu in ogni locu in una dumanda HTTP.

Cons:

  • In sviluppu.

Strumenti Web, o induve principiatu cum'è un pentester?

ffuff

ffuff - un fuzzer web in Go, creatu in "l'imaghjini è a somiglianza" di wfuzz, vi permette di brute file, cartulari, percorsi URL, nomi è valori di parametri GET / POST, intestazioni HTTP, cumprese l'intestazione Host per a forza bruta. di ospiti virtuali. wfuzz difiere da u so fratellu in una veloce più alta è alcune funzioni novi, per esempiu, supporta i dizionari di furmatu Dirsearch.

Pros:

  • I filtri sò simili à i filtri wfuzz, permettenu di cunfigurà in modu flexible a forza bruta;
  • Permette di fuzz i valori di l'intestazione HTTP, i dati di dumanda POST è diverse parti di l'URL, cumprese i nomi è i valori di i parametri GET;
  • Pudete specificà ogni metudu HTTP.

Cons:

  • In sviluppu.

Strumenti Web, o induve principiatu cum'è un pentester?

gobuster

gobuster - un strumentu Go per ricunniscenza, hà dui modi di funziunamentu. U primu hè utilizatu per i fugliali di forza brute è i cartulari in un situ web, u sicondu hè utilizatu per i subdominii DNS di forza bruta. L'uttellu ùn sustene micca inizialmente l'enumerazione recursiva di schedarii è cartulari, chì, sicuru, risparmia u tempu, ma da l'altra banda, a forza bruta di ogni novu endpoint in u situ web deve esse lanciata separatamente.

Pros:

  • Alta velocità di operazione sia per a ricerca in forza bruta di sottodominii DNS sia per a forza bruta di schedari è cartulari.

Cons:

  • A versione attuale ùn sustene micca l'intestazioni HTTP;
  • Per automaticamente, solu alcuni di i codici di statutu HTTP (200,204,301,302,307) sò cunsiderati validi.

Strumenti Web, o induve principiatu cum'è un pentester?

Arjun

Arjun - un strumentu per a forza bruta di parametri HTTP nascosti in i paràmetri GET/POST, è ancu in JSON. U dizziunariu integratu hà 25 parolle, chì Ajrun verifica in quasi 980 seconde. U truccu hè chì Ajrun ùn cuntrolla micca ogni paràmetru separatamente, ma cuntrolla ~ 30 paràmetri à un tempu è vede s'ellu a risposta hà cambiatu. Se a risposta hà cambiatu, divide questi 1000 paràmetri in duie parte è verifica quale di queste parti afecta a risposta. Cusì, utilizendu una ricerca binaria simplice, si trovanu un paràmetru o parechji paràmetri nascosti chì anu influenzatu a risposta è, per quessa, pò esse.

Pros:

  • Alta velocità per via di a ricerca binaria;
  • Supportu per i paràmetri GET / POST, è ancu i paràmetri in forma di JSON;

U plugin per Burp Suite funziona nantu à un principiu simili - param-miner, chì hè ancu assai bonu per truvà parametri HTTP nascosti. Vi diciaremu più nantu à questu in un articulu chì vene nantu à Burp è i so plugins.
Strumenti Web, o induve principiatu cum'è un pentester?

LinkFinder

LinkFinder - un script Python per a ricerca di ligami in i schedari JavaScript. Utile per truvà endpoint / URL nascosti o dimenticati in una applicazione web.

Pros:

  • veloce;
  • Ci hè un plugin speciale per Chrome basatu in LinkFinder.

.

Cons:

  • Conclusioni finali inconvenienti;
  • Ùn analizeghja micca JavaScript cù u tempu;
  • Una logica abbastanza simplice per a ricerca di ligami - se JavaScript hè in qualchì manera offuscata, o i ligami sò inizialmente mancanti è generati dinamicamente, allora ùn puderà truvà nunda.

Strumenti Web, o induve principiatu cum'è un pentester?

JSParser

JSParser hè un script Python chì usa mussonichi и JSBeautifier per analizà l'URL relative da i schedari JavaScript. Moltu utile per a rilevazione di e dumande AJAX è a compilazione di una lista di metudi API chì l'applicazione interagisce cù. Funziona in modu efficace in cunjunzione cù LinkFinder.

Pros:

  • Analisi rapida di i fugliali JavaScript.

Strumenti Web, o induve principiatu cum'è un pentester?

sqlmap

sqlmap hè probabilmente unu di i più famosi strumenti per analizà l'applicazioni web. Sqlmap automatizza a ricerca è u funziunamentu di l'injections SQL, travaglia cù parechji dialetti SQL, è hà un gran numaru di tecnichi diffirenti in u so arsenale, chì varieghja da quotes straight-up à vettori cumplessi per injections SQL basati in u tempu. Inoltre, hà parechje tecniche per più sfruttamentu per diversi DBMS, per quessa hè utile micca solu cum'è scanner per injections SQL, ma ancu com'è un strumentu putente per sfruttà injections SQL digià truvate.

Pros:

  • Un gran numaru di diverse tecniche è vettori;
  • numeru bassu di falsi pusitivi;
  • Un saccu d'opzioni di fine-tuning, diverse tecniche, basa di dati di destinazione, script di tamper per bypassing WAF;
  • Capacità di creà un dump di output;
  • Parechje capacità operative diverse, per esempiu, per certi basa di dati - carica / scaricamentu automaticu di schedari, ottene l'abilità di eseguisce cumandamenti (RCE) è altri;
  • Supportu per a cunnessione diretta à a basa di dati utilizendu dati ottenuti durante un attaccu;
  • Pudete mandà un schedariu di testu cù i risultati di Burp cum'è input - senza bisognu di cumpone manualmente tutti l'attributi di a linea di cummanda.

Cons:

  • Hè difficiuli di persunalizà, per esempiu, per scrive alcuni di i vostri cuntrolli per via di a documentazione scarsa per questu;
  • Senza i paràmetri adatti, eseguisce un inseme incompletu di cuntrolli, chì pò esse ingannatu.

Strumenti Web, o induve principiatu cum'è un pentester?

NoSQLMap

NoSQLMap - un strumentu Python per automatizà a ricerca è u sfruttamentu di l'injections NoSQL. Hè cunvenutu à utilizà micca solu in basa di dati NoSQL, ma ancu direttamente quandu audite l'applicazioni web chì utilizanu NoSQL.

Pros:

  • Cum'è sqlmap, ùn solu trova una vulnerabilità potenziale, ma verifica ancu a pussibilità di u so sfruttamentu per MongoDB è CouchDB.

Cons:

  • Ùn sustene micca NoSQL per Redis, Cassandra, u sviluppu hè in corso in questa direzzione.

oxml_xxe

oxml_xxe - un strumentu per incrustà XXE XML exploits in diversi tipi di schedari chì utilizanu u formatu XML in qualchì forma.

Pros:

  • Supporta parechji formati cumuni cum'è DOCX, ODT, SVG, XML.

Cons:

  • U supportu per PDF, JPEG, GIF ùn hè micca implementatu cumplettamente;
  • Crea solu un schedariu. Per risolve stu prublema, pudete aduprà u strumentu docem, chì ponu creà un gran numaru di schedarii di carichi in parechji posti.

L'utilità di sopra facenu un grande travagliu di teste XXE quandu caricate documenti chì cuntenenu XML. Ma ricurdate ancu chì i gestori di furmatu XML ponu esse truvati in parechji altri casi, per esempiu, XML pò esse usatu cum'è un formatu di dati invece di JSON.

Per quessa, ricumandemu chì fate attenzione à u repositoriu seguente, chì cuntene un gran numaru di carichi diversi: Payloads AllThe Things.

tplmap

tplmap - Un strumentu Python per identificà è sfruttà automaticamente e vulnerabilità di l'Injection di Template Server-Side; hà paràmetri è bandiere simili à sqlmap. Aduprate diverse tecniche è vettori, cumpresa l'iniezione ceca, è hà ancu tecnichi per eseguisce codice è carica / carica di schedari arbitrarie. Inoltre, hà in u so arsenale tecniche per una decina di mudelli di mudelli diffirenti è alcune tecniche per a ricerca di eval ()-like code injections in Python, Ruby, PHP, JavaScript. In casu di successu, apre una cunsola interattiva.

Pros:

  • Un gran numaru di diverse tecniche è vettori;
  • Supporta parechji mutori di rendering di mudelli;
  • Un saccu di tecniche operative.

CeWL

CeWL - un generatore di dizziunariu in Ruby, creatu per caccià e parolle uniche da un situ web specificu, seguita ligami nantu à u situ à una prufundità specifica. U dizziunariu cumpilatu di parolle uniche pò esse usatu più tardi per password di forza bruta nantu à i servizii o fugliali di forza brute è cartulari in u stessu situ web, o per attaccà l'hash resultanti usendu hashcat o John the Ripper. Utile quandu compilate una lista "destinazione" di password potenziali.

Pros:

  • Facile à aduprà.

Cons:

  • Avete bisognu à esse attentu à a prufundità di ricerca per ùn catturà un duminiu extra.

Weakpass

Weakpass - un serviziu chì cuntene assai dizionari cù password uniche. Estremamente utile per diverse attività legate à u cracking di password, chì varieghja da a semplice forza bruta di cunti in linea nantu à i servizii di destinazione, à a forza bruta off-line di hash ricevuti utilizendu hashcat o John The Ripper. Contene circa 8 miliardi di password chì varianu da 4 à 25 caratteri in lunghezza.

Pros:

  • Cuntene dizziunari specifichi è dizziunari cù e password più cumuni - pudete sceglie un dizziunariu specificu per i vostri bisogni;
  • I dizziunari sò aghjurnati è rimpiazzati cù novi password;
  • I dizionari sò ordinati per efficienza. Pudete sceglie l'opzione per a forza bruta in linea rapida è a selezzione dettagliata di password da un voluminoso dizziunariu cù l'ultime fughe;
  • Ci hè una calculatrice chì mostra u tempu chì ci vole à password brute in u vostru equipamentu.

Strumenti Web, o induve principiatu cum'è un pentester?

Vulemu include strumenti per i cuntrolli CMS in un gruppu separatu: WPScan, JoomScan è AEM pirate.

AEM_hacker

Hacker AEM hè un strumentu per identificà e vulnerabilità in l'applicazioni Adobe Experience Manager (AEM).

Pros:

  • Pò identificà l'applicazioni AEM da a lista di URL sottumessi à a so input;
  • Contene scripts per ottene RCE carichendu una shell JSP o sfruttendu SSRF.

JoomScan

JoomScan - un strumentu Perl per automatizà a rilevazione di vulnerabilità quandu implementate Joomla CMS.

Pros:

  • Capacità di truvà difetti di cunfigurazione è prublemi cù i paràmetri amministrativi;
  • Elenca e versioni di Joomla è e vulnerabilità associate, in modu simili per i cumpunenti individuali;
  • Contene più di 1000 sfruttamenti per i cumpunenti Joomla;
  • Output di rapporti finali in testu è formati HTML.

Strumenti Web, o induve principiatu cum'è un pentester?

WPScan

WPScan - un strumentu per scanning siti di WordPress, hà vulnerabili in u so arsenale per u mutore WordPress stessu è per certi plugins.

Pros:

  • Capace di listinu micca solu plugins è temi WordPress insicuri, ma ancu ottene una lista di l'utilizatori è i schedari TimThumb;
  • Pudete fà attacchi di forza bruta in siti WordPress.

Cons:

  • Senza i paràmetri adatti, eseguisce un inseme incompletu di cuntrolli, chì pò esse ingannatu.

Strumenti Web, o induve principiatu cum'è un pentester?

In generale, e diverse persone preferanu diverse strumenti per u travagliu: sò tutti boni in u so modu, è ciò chì piace à una persona ùn pò micca cunvene à l'altru. Se pensate chì avemu ignoratu ingiustamente una bona utilità, scrivite nantu à questu in i cumenti!

Source: www.habr.com

Add a comment