Před časem jsem psal o , ale trochu skrovné a chaotické. Poté jsem se rozhodl rozšířit seznam nástrojů v recenzi, přidat do článku strukturu a zohlednit kritiku (moc děkuji o radu) a poslal jej do soutěže na SecLab (a zveřejnil , ale ze všech zřejmých důvodů ji nikdo neviděl). Soutěž je ukončena, výsledky jsou vyhlášeny a s klidným svědomím ji (článek) mohu zveřejnit na Habré.
Bezplatné webové aplikace Pentester Tools
V tomto článku budu hovořit o nejoblíbenějších nástrojích pro pentesting (penetrační testy) webových aplikací pomocí strategie „black box“.
K tomu se podíváme na utility, které s tímto typem testování pomohou. Zvažte následující kategorie produktů:
- Síťové skenery
- Skenery narušení webových skriptů
- Vykořisťování
- Automatizace vstřikování
- Debuggery (sniffery, místní proxy atd.)
Některé produkty mají univerzální „charakter“, proto je zařadím do kategorie, ve které mají aоlepší výsledek (subjektivní názor).
Síťové skenery.
Hlavním úkolem je zjistit dostupné síťové služby, nainstalovat jejich verze, určit OS atd.
Nmap
je bezplatný a open source nástroj pro analýzu sítě a audit zabezpečení systému. Násilní odpůrci konzole mohou použít Zenmap, což je GUI pro Nmap.
Toto není jen „chytrý“ skener, je to seriózní rozšiřitelný nástroj (jednou z „neobvyklých funkcí“ je přítomnost skriptu pro kontrolu uzlu na přítomnost červa ““ (zmíněno ). Typický příklad použití:
nmap -A -T4 localhost
-A pro detekci verze OS, skenování skriptů a sledování
-T4 nastavení časového ovládání (více je rychlejší, od 0 do 5)
localhost - cílový hostitel
Něco tvrdšího?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Toto je sada možností z profilu „pomalé komplexní skenování“ v Zenmap. Jeho dokončení trvá poměrně dlouho, ale nakonec poskytuje podrobnější informace, které lze zjistit o cílovém systému. , pokud se rozhodnete jít hlouběji, doporučuji také článek přeložit .
Nmap získal ocenění „Bezpečnostní produkt roku“ od časopisů a společností, jako například Linux Časopis, Informační svět, LinuxQuestions.Org a Codetalker Digest.
Zajímavý bod, Nmap lze vidět ve filmech „The Matrix Reloaded“, „Die Hard 4“, „The Bourne Ultimatum“, „Hottabych“ a .
IP-Tools
- druh sady různých síťových nástrojů, který je dodáván s grafickým uživatelským rozhraním, „věnovaným“ uživatelům Windows.
Skener portů, sdílené zdroje (sdílené tiskárny/složky), WhoIs/Finger/Lookup, telnet klient a mnoho dalšího. Prostě pohodlný, rychlý a funkční nástroj.
Nemá smysl uvažovat o jiných produktech, protože v této oblasti existuje mnoho nástrojů a všechny mají podobné provozní principy a funkce. Přesto zůstává nmap nejběžněji používaným.
Skenery narušení webových skriptů
Pokus o nalezení populárních zranitelností (SQL inj, XSS, LFI/RFI atd.) nebo chyb (nevymazané dočasné soubory, indexování adresářů atd.)
Acunetix Web Scanner zabezpečení
— z odkazu můžete vidět, že se jedná o xss skener, ale není to tak úplně pravda. Bezplatná verze, která je k dispozici zde, poskytuje poměrně mnoho funkcí. Osoba, která tento skener spustí poprvé a poprvé obdrží zprávu o svém zdroji, obvykle zažije mírný šok a jakmile to uděláte, pochopíte proč. Jedná se o velmi výkonný produkt pro analýzu všech druhů zranitelností na webu a funguje nejen s obvyklými weby PHP, ale také v jiných jazycích (ačkoli rozdíl v jazyce není indikátorem). Popis pokynů nemá žádný zvláštní smysl, protože skener jednoduše „zaznamená“ akce uživatele. Něco podobného jako „další, další, další, připraveno“ v typické instalaci softwaru.
Nikdo
Toto je webový prohledávač s otevřeným zdrojovým kódem (GPL). Odstraňuje rutinní manuální práci. Vyhledá na cílovém webu nesmazané skripty (některé test.php, index_.php atd.), nástroje pro správu databází (/phpmyadmin/, /pma a podobně) atd., tj. zkontroluje zdroj na nejčastější chyby obvykle způsobeno lidským faktorem.
Navíc, pokud najde nějaký populární skript, zkontroluje, zda neobsahuje vydané exploity (které jsou v databázi).
Hlásí dostupné "nežádoucí" metody jako PUT a TRACE
A tak dále. Je to velmi výhodné, pokud pracujete jako auditor a analyzujete webové stránky každý den.
Z mínusů bych rád poznamenal vysoké procento falešných poplachů. Pokud například váš web vždy zobrazí hlavní chybu místo chyby 404 (kdy by se měla vyskytnout), skener oznámí, že váš web obsahuje všechny skripty a všechna zranitelná místa z databáze. V praxi se to tak často nestává, ale ve skutečnosti hodně záleží na struktuře vašeho webu.
Klasické použití:
./nikto.pl -host localhost
Pokud potřebujete být na stránce autorizováni, můžete nastavit cookie v souboru nikto.conf, proměnná STATIC-COOKIE.
Wikto
- Nikto pod Windows, ale s některými doplňky, jako je fuzzy logika pro kontrolu chyb, využití GHDB, načítání odkazů na zdroje a složek a monitorování HTTP požadavků/odpovědí v reálném čase. Wikto je napsáno v jazyce C# a vyžaduje framework .NET.
skipfish
- skener zranitelnosti webu od (známý jako lcamtuf). Napsáno v C, multiplatformní (Win vyžaduje Cygwin). Rekurzivně (a po velmi dlouhou dobu, asi 20~40 hodin, i když naposledy mi to fungovalo 96 hodin) proleze celý web a najde nejrůznější bezpečnostní díry. Také generuje velký provoz (několik GB příchozích/odchozích). Ale všechny prostředky jsou dobré, zvláště pokud máte čas a zdroje.
Typické použití:
./skipfish -o /home/reports www.example.com
Ve složce „zprávy“ bude zpráva v html, .
w3af 
— Web Application Attack and Audit Framework, open-source webový skener zranitelnosti. Má GUI, ale můžete pracovat z konzole. Přesněji se jedná o rámec s .
Mohl bych o jeho výhodách psát donekonečna, ale je lepší ho vyzkoušet :]
Typická práce s ním se omezuje na výběr profilu, určení cíle a jeho samotné spuštění.
Bezpečnostní rámec Mantra
je sen, který se stal skutečností. Kolekce bezplatných a otevřených nástrojů pro zabezpečení informací zabudovaných do webového prohlížeče.
Velmi užitečné při testování webových aplikací ve všech fázích.
Použití se scvrkává na instalaci a spuštění prohlížeče.
Ve skutečnosti je v této kategorii mnoho utilit a je docela obtížné z nich vybrat konkrétní seznam. Nejčastěji si každý pentester sám určí sadu nástrojů, které potřebuje.
Vykořisťování
Pro automatizované a pohodlnější využívání zranitelností jsou exploity psány v softwaru a skriptech, kterým stačí předat parametry, aby bylo možné využít bezpečnostní díru. A existují produkty, které eliminují potřebu ručně hledat exploity a dokonce je aplikovat za běhu. O této kategorii bude nyní řeč.
Metasploit Framework 
- jakési monstrum v našem podnikání. Umí toho tolik, že návod bude zahrnovat několik článků. Podíváme se na automatické vytěžování (nmap + metasploit). Sečteno a podtrženo: Nmap zanalyzuje port, který potřebujeme, nainstaluje službu a metasploit se na něj pokusí aplikovat exploity na základě třídy služby (ftp, ssh atd.). Místo textového návodu vložím video, celkem oblíbené na téma autopwn
Nebo můžeme jednoduše automatizovat provoz exploitu, který potřebujeme. Např:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Ve skutečnosti jsou možnosti tohoto rámce velmi rozsáhlé, takže pokud se rozhodnete jít hlouběji, přejděte na
Armitage
— OVA GUI kyberpunkového žánru pro Metasploit. Vizualizuje cíl, doporučuje exploity a poskytuje pokročilé funkce rámce. Obecně pro ty, kteří mají rádi, aby vše vypadalo krásně a působivě.
Screencast:
Tenable Nessus®
- umí spoustu věcí, ale jedna z funkcí, které od toho potřebujeme, je určování, které služby mají exploity. Bezplatná verze produktu „pouze doma“
Использование:
- Staženo (pro váš systém), nainstalováno, zaregistrováno (klíč je zaslán na váš e-mail).
- Spustil server, přidal uživatele do Nessus Server Manager (tlačítko Správa uživatelů)
- Jdeme na adresu
https://localhost:8834/
a stáhněte si flash klienta do prohlížeče
- Skenování -> Přidat -> vyplňte pole (výběrem profilu skenování, který nám vyhovuje) a klikněte na Skenovat
Po nějaké době se na kartě Zprávy zobrazí zpráva o skenování
Chcete-li zkontrolovat praktickou zranitelnost služeb vůči exploitům, můžete použít Metasploit Framework popsaný výše nebo zkusit najít exploit (například na , , atd.) a použijte jej ručně proti jeho systém
IMHO: příliš objemné. Přivedl jsem ho jako jednoho z lídrů v tomto směru softwarového průmyslu.
Automatizace vstřikování
Mnoho sec skenerů webových aplikací hledá injekce, ale stále jsou to jen obecné skenery. A existují nástroje, které se konkrétně zabývají vyhledáváním a využíváním injekcí. Nyní si o nich povíme.
sqlmap
— open-source nástroj pro vyhledávání a využívání SQL injections. Podporuje databázové servery jako: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typické použití se scvrkává na řádek:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Existuje dostatek příruček, včetně ruských. Software velmi usnadňuje práci pentestera při práci v této oblasti.
Přidám oficiální video ukázku:
bsqlbf-v2
— perlový skript, hrubá síla pro „slepé“ injekce SQL. Funguje jak s celočíselnými hodnotami v url, tak s řetězcovými hodnotami.
Podporovaná databáze:
- MS-SQL
- MySQL
- PostgreSQL
- Věštec
Příklad použití:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Propojení s parametry
-slepý u — parametr pro injekci (ve výchozím nastavení se poslední přebírá z adresního řádku)
-sql "vyberte název_tabulky z imformation_schema.tables limit 1 offset 0" — náš svévolný požadavek na databázi
- databáze 1 — databázový server: MSSQL
- typ 1 — typ útoku, „slepá“ injekce, na základě odpovědí True a Error (například syntaktické chyby)
Debuggery
Tyto nástroje používají především vývojáři, když mají problémy s výsledky provádění svého kódu. Tento směr je ale užitečný i pro pentesting, kdy můžeme za běhu nahrazovat potřebná data, analyzovat, co přichází v reakci na naše vstupní parametry (například při fuzzingu) atd.
Balíček Burp
— sada nástrojů, které pomáhají s penetračními testy. Je to na internetu v ruštině od Raz0r (i když pro rok 2008).
Bezplatná verze obsahuje:
- Burp Proxy je lokální proxy, která umožňuje upravovat již vygenerované požadavky z prohlížeče
- Burp Spider - pavouk, vyhledává existující soubory a adresáře
- Burp Repeater - ruční odesílání HTTP požadavků
- Burp Sequencer - analýza náhodných hodnot ve formulářích
- Burp Decoder je standardní kodér-dekodér (html, base64, hex atd.), kterých jsou tisíce a lze je rychle zapsat v jakémkoli jazyce
- Burp Comparer – komponenta pro porovnání řetězců
V zásadě tento balíček řeší téměř všechny problémy související s touto oblastí.
houslista
— Fiddler je ladicí proxy, která zaznamenává veškerý provoz HTTP(S). Umožňuje prozkoumat tento provoz, nastavit body přerušení a „hrát si“ s příchozími nebo odchozími daty.
K dispozici je také , monstrum a další, výběr je na uživateli.
Závěr
Každý pentester má přirozeně svůj vlastní arzenál a vlastní sadu utilit, protože jich je prostě hodně. Pokusil jsem se uvést některé z nejpohodlnějších a nejoblíbenějších. Ale aby se každý mohl seznámit s dalšími nástroji v tomto směru, uvedu níže odkazy.
Různé topy/seznamy skenerů a utilit
- .
distribuce Linux, které již obsahují řadu různých utilit pro penetrační testování
upd: v ruštině od týmu „Hack4Sec“ (doplněno )
PS Nemůžeme mlčet o XSpider. Neúčastní se recenze, ačkoliv je shareware (zjistil jsem, když jsem článek poslal do SecLabu, vlastně kvůli tomu (ne znalost a nedostatek nejnovější verze 7.8) a nezahrnul jsem to do článku). A teoreticky byla naplánována jeho revize (mám na to připravené těžké testy), ale nevím, jestli to svět uvidí.
PPS Některé materiály z článku budou použity pro zamýšlený účel v připravované zprávě na adrese 2012 v sekci QA, která bude obsahovat nástroje, které zde nejsou uvedeny (samozřejmě zdarma), a také algoritmus, v jakém pořadí co použít, jaký výsledek očekávat, jaké konfigurace použít a nejrůznější rady a triky, kdy pracovní (o zprávě přemýšlím téměř každý den, pokusím se vám říci to nejlepší o tématu tématu)
Mimochodem, na tento článek byla lekce Otevřete InfoSec Days (, ), umět okrádat krávy podívej se .
Zdroj: www.habr.com
