Wapiti - gwirio safle ar ei ben ei hun am wendidau

Wapiti - gwirio safle ar ei ben ei hun am wendidau
Yn yr olaf Erthygl buom yn siarad am Nemesida WAF Rhad ac am Ddim - teclyn rhad ac am ddim ar gyfer amddiffyn gwefannau ac APIs rhag ymosodiadau haciwr, ac yn yr un hwn fe benderfynon ni adolygu sganiwr bregusrwydd poblogaidd Elc.

Mae sganio gwefan am wendidau yn fesur angenrheidiol, sydd, ynghyd Γ’ dadansoddiad o'r cod ffynhonnell, yn caniatΓ‘u ichi asesu lefel ei diogelwch rhag bygythiadau cyfaddawdu. Gallwch sganio adnodd gwe gan ddefnyddio offer arbenigol.

Nikto, W3af (a ysgrifennwyd yn Python 2.7, nad yw'n cael ei gefnogi mwyach) neu Arachni (nad yw'n cael ei gefnogi mwyach ers mis Chwefror) yw'r atebion mwyaf poblogaidd a gyflwynir yn y segment rhad ac am ddim. Wrth gwrs, mae yna rai eraill, er enghraifft, Wapiti, y penderfynasom ganolbwyntio arnynt.

Mae Wapiti yn gweithio gyda'r mathau canlynol o wendidau:

  • ehangu ffeil (lleol ac anghysbell, fopen, readfile);
  • pigiadau (chwistrelliad PHP / JSP / ASP / SQL a chwistrelliad XPath);
  • XSS (Sgriptio Traws-Safle) (myfyriol a pharhaus);
  • canfod a gweithredu gorchmynion (eval(), system(), passtru());
  • Pigiadau CRLF (hollti ymateb HTTP, gosodiad sesiwn);
  • XXE (endid allanol XML) gwreiddio;
  • SSRF (Ffugio Cais Ochr y Gweinydd);
  • defnyddio ffeiliau a allai fod yn beryglus hysbys (diolch i gronfa ddata Nikto);
  • ffurfweddiadau .htaccess gwan y gellir eu hosgoi;
  • presenoldeb ffeiliau wrth gefn sy'n datgelu gwybodaeth gyfrinachol (datgelu cod ffynhonnell);
  • Sioc cregyn;
  • ailgyfeiriadau agored;
  • dulliau HTTP ansafonol y gellir eu datrys (PUT).

Nodweddion:

  • Cefnogaeth dirprwy HTTP, HTTPS a SOCKS5;
  • dilysu gan ddefnyddio sawl dull: Sylfaenol, Digest, Kerberos neu NTLM;
  • y gallu i gyfyngu ar yr ardal sganio (parth, ffolder, tudalen, URL);
  • tynnu un o'r paramedrau yn yr URL yn awtomatig;
  • rhagofalon lluosog yn erbyn dolenni sgan diddiwedd (enghraifft: ifor, gwerthoedd cyfyngu ar gyfer paramedr);
  • y gallu i osod blaenoriaeth ar gyfer archwilio URLs (hyd yn oed os nad ydynt yn yr ardal sganio);
  • y gallu i eithrio rhai URLs rhag sganio ac ymosodiadau (er enghraifft: allgofnodi URL);
  • mewnforio cwcis (eu cael gan ddefnyddio'r offeryn wapiti-getcookie);
  • y gallu i actifadu / dadactifadu dilysiad tystysgrif SSL;
  • y gallu i echdynnu URLs o JavaScript (dehonglydd JS syml iawn);
  • rhyngweithio Γ’ HTML5;
  • sawl opsiwn ar gyfer rheoli ymddygiad ymlusgo a chyfyngiadau;
  • gosod yr amser mwyaf posibl ar gyfer y broses sganio;
  • ychwanegu rhai penawdau HTTP arferol neu sefydlu Asiant Defnyddiwr wedi'i deilwra.

Nodweddion ychwanegol:

  • creu adroddiadau bregusrwydd mewn fformatau amrywiol (HTML, XML, JSON, TXT);
  • oedi ac ailddechrau sgan neu ymosodiad (mecanwaith sesiwn gan ddefnyddio cronfeydd data SQLite3);
  • backlighting yn y derfynell i amlygu gwendidau;
  • lefelau gwahanol o logio;
  • Ffordd gyflym a hawdd o actifadu / dadactifadu modiwlau ymosodiad.

Gosod

Gellir gosod y fersiwn gyfredol o Wapiti mewn 2 ffordd:

  • lawrlwythwch y ffynhonnell o'r swyddogol safle a rhedeg y sgript gosod, ar Γ΄l gosod Python3 o'r blaen;
  • gan ddefnyddio'r gorchymyn pip3 gosod wapiti3.

Ar Γ΄l hyn, bydd Wapiti yn barod i fynd.

Gweithio gyda'r offeryn

Er mwyn dangos gwaith Wapiti, byddwn yn defnyddio stondin a baratowyd yn arbennig sites.vulns.pentestit.ru (adnodd mewnol), sy'n cynnwys gwahanol wendidau (Chwistrelliad, XSS, LFI / RFI) a diffygion eraill mewn cymwysiadau gwe.

Darperir y wybodaeth er gwybodaeth yn unig. Peidiwch Γ’ thorri'r gyfraith!

Gorchymyn sylfaenol i lansio'r sganiwr:

# wapiti -u <target> <options>

Ar yr un pryd, mae cymorth eithaf manwl gyda nifer enfawr o opsiynau lansio, er enghraifft:

--cwmpas - maes cais
Os ydych chi'n nodi'r paramedr cwmpas ynghyd Γ’'r URL cropian, gallwch chi addasu ardal sganio'r wefan trwy nodi un dudalen a phob tudalen sydd i'w gweld ar y wefan.

-s ΠΈ -x - opsiynau i ychwanegu neu ddileu URLau penodol. Mae'r opsiynau hyn yn ddefnyddiol pan fydd angen i chi ychwanegu neu ddileu URL penodol yn ystod y broses cropian.

--sgip - bydd y paramedr penodedig gyda'r allwedd hon yn cael ei sganio, ond ni fydd yn cael ei ymosod. Yn ddefnyddiol os oes unrhyw baramedrau peryglus sy'n cael eu heithrio orau yn ystod sganio.

--gwirio-ssl β€” galluogi neu analluogi dilysu tystysgrif.
Mae'r sganiwr Wapiti yn fodiwlaidd. Fodd bynnag, i lansio modiwlau penodol, gan gynnwys y rhai sydd wedi'u cysylltu'n awtomatig tra bod y sganiwr yn rhedeg, mae angen i chi ddefnyddio'r switsh -m a rhestru'r rhai sydd eu hangen arnoch chi, wedi'u gwahanu gan atalnodau. Os na ddefnyddir yr allwedd, yna bydd pob modiwl yn gweithio yn ddiofyn. Yn y fersiwn symlaf bydd yn edrych fel hyn:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Mae'r enghraifft hon o ddefnydd yn golygu mai dim ond wrth sganio'r targed y byddwn yn defnyddio'r modiwlau SQL, XSS a XXE. Yn ogystal, gallwch hidlo gweithrediad modiwlau yn dibynnu ar y dull a ddymunir. Er enghraifft -m β€œxss: cael, blindsql: post, xxe: post”. Yn yr achos hwn, y modiwl xss yn berthnasol i geisiadau a anfonir gan ddefnyddio'r dull GET, a'r modiwl blidsql - i geisiadau POST, etc. Gyda llaw, os nad oedd angen rhyw fodiwl sydd wedi'i gynnwys yn y rhestr yn ystod y sganio neu'n cymryd amser hir iawn, yna trwy wasgu'r cyfuniad Ctrl+C gallwch hepgor defnyddio'r modiwl cyfredol trwy ddewis yr eitem gyfatebol yn y ddewislen ryngweithiol.

Mae Wapiti yn cefnogi trosglwyddo ceisiadau trwy ddirprwy gan ddefnyddio allwedd -p a dilysu ar y safle targed drwy'r paramedr -a. Gallwch hefyd nodi'r math dilysu: Syml, Crynhoad, Kerberos ΠΈ NTLM. Efallai y bydd y ddau olaf yn gofyn am osod modiwlau ychwanegol. Yn ogystal, gallwch fewnosod unrhyw benawdau mewn ceisiadau (gan gynnwys mympwyol Asiant Defnyddiwr) a llawer mwy.

I ddefnyddio dilysu gallwch ddefnyddio'r offeryn wapiti-getcookie. Gyda'i help rydym yn ffurfio cwci, y bydd Wapiti yn ei ddefnyddio wrth sganio. Ffurfiant cwci wedi'i wneud gyda'r gorchymyn:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

Wrth weithio'n rhyngweithiol, rydym yn ateb cwestiynau ac yn nodi'r wybodaeth angenrheidiol fel mewngofnodi, cyfrinair, ac ati:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Mae'r allbwn yn ffeil mewn fformat JSON. Opsiwn arall yw ychwanegu'r holl wybodaeth angenrheidiol trwy'r paramedr -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Bydd y canlyniad yn debyg:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Wrth ystyried prif swyddogaeth y sganiwr, y cais terfynol ar gyfer profi'r rhaglen we yn ein hachos ni oedd:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

lle ymhlith paramedrau eraill:

-f ΠΈ -o β€” fformat a llwybr ar gyfer arbed yr adroddiad;

-m β€” ni argymhellir cysylltu pob modiwl, oherwydd bydd yn effeithio ar amser profi a maint yr adroddiad;

--lliw β€” amlygu gwendidau a ganfuwyd yn dibynnu ar eu critigolrwydd yn Γ΄l Wapiti ei hun;

-c - defnyddio ffeil gyda cwci, a gynhyrchir gan ddefnyddio wapiti-getcookie;

--cwmpas β€” dewis targed ar gyfer ymosodiad. Dewis opsiwn ffolder Bydd pob URL yn cael ei gropian a'i ymosod, gan ddechrau gyda'r un sylfaenol. Rhaid i'r URL sylfaen gael blaenslaes (dim enw ffeil);

--fflysio-sesiwn β€” yn caniatΓ‘u ar gyfer sganio dro ar Γ΄l tro, lle na fydd canlyniadau blaenorol yn cael eu hystyried;

-A - berchen Asiant Defnyddiwr;

-p - cyfeiriad gweinydd dirprwy, os oes angen.

Ychydig am yr adroddiad

Cyflwynir y canlyniad sganio ar ffurf adroddiad manwl ar yr holl wendidau a ganfuwyd ar ffurf tudalen HTML, mewn ffurf glir a hawdd ei darllen. Bydd yr adroddiad yn nodi'r categorΓ―au a nifer y gwendidau a ganfuwyd, eu disgrifiadau, ceisiadau, gorchmynion ar eu cyfer cyrlio ac awgrymiadau ar sut i'w cau. Er hwylustod llywio, bydd dolen yn cael ei hychwanegu at enwau'r categorΓ―au, gan glicio y gallwch chi fynd ato:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Anfantais sylweddol i'r adroddiad yw absenoldeb map cymhwysiad gwe fel y cyfryw, a hebddo ni fydd yn glir a yw'r holl gyfeiriadau a pharamedrau wedi'u dadansoddi. Mae yna hefyd bosibilrwydd o bethau positif ffug. Yn ein hachos ni, mae’r adroddiad yn cynnwys β€œffeiliau wrth gefn” a β€œffeiliau a allai fod yn beryglus.” Nid yw eu rhif yn cyfateb i realiti, gan nad oedd ffeiliau o'r fath ar y gweinydd:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Efallai y bydd modiwlau sy'n gweithio'n anghywir yn cael eu gosod dros amser. Anfantais arall yr adroddiad yw diffyg lliwio'r gwendidau a ganfuwyd (yn dibynnu ar eu critigolrwydd), neu o leiaf eu rhannu'n gategorΓ―au. Yr unig ffordd y gallwn ddeall yn anuniongyrchol bwysigrwydd y bregusrwydd a ganfyddir yw defnyddio'r paramedr --lliw yn ystod y sganio, ac yna bydd y gwendidau a ganfyddir yn cael eu lliwio mewn gwahanol liwiau:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Ond nid yw'r adroddiad ei hun yn rhoi lliw o'r fath.

Gwendidau

SQLi

Fe wnaeth y sganiwr ymdopi'n rhannol Γ’'r chwiliad SQLi. Wrth chwilio am wendidau SQL ar dudalennau lle nad oes angen dilysu, nid oes unrhyw broblemau'n codi:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Nid oedd yn bosibl dod o hyd i wendid ar dudalennau sy'n hygyrch yn unig ar Γ΄l dilysu, hyd yn oed gan ddefnyddio dilys cwci, oherwydd yn fwyaf tebygol ar Γ΄l dilysu llwyddiannus, bydd eu sesiwn yn cael ei β€œallgofnodi” a cwci bydd yn dod yn annilys. Pe bai'r swyddogaeth dad-awdurdodi yn cael ei gweithredu fel sgript ar wahΓ’n sy'n gyfrifol am brosesu'r weithdrefn hon, yna byddai'n bosibl ei gwahardd yn llwyr trwy'r paramedr -x, a thrwy hynny ei atal rhag sbarduno. Fel arall, ni fydd yn bosibl eithrio ei brosesu. Nid yw hyn yn broblem gyda modiwl penodol, ond gyda'r offeryn yn ei gyfanrwydd, ond oherwydd y naws hwn, nid oedd yn bosibl canfod sawl pigiad mewn ardal adnoddau caeedig.

XSS

Ymdopodd y sganiwr Γ’'r dasg a roddwyd yn berffaith a chanfod yr holl wendidau a baratowyd:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

LFI/RFI

Canfu'r sganiwr yr holl wendidau sylfaenol:

Wapiti - gwirio safle ar ei ben ei hun am wendidau

Yn gyffredinol, er gwaethaf pethau cadarnhaol ffug a gwendidau coll, mae Wapiti, fel offeryn rhad ac am ddim, yn dangos canlyniadau perfformiad eithaf da. Mewn unrhyw achos, mae'n werth cydnabod bod y sganiwr yn eithaf pwerus, hyblyg ac amlswyddogaethol, ac yn bwysicaf oll, mae'n rhad ac am ddim, felly mae ganddo'r hawl i gael ei ddefnyddio i helpu gweinyddwyr a datblygwyr i gael gwybodaeth sylfaenol am statws diogelwch gwe cais.

Byddwch yn iach ac yn ddiogel!

Ffynhonnell: hab.com

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd Γ’ diogelwch DDoS, gweinyddwyr VPS VDS πŸ”₯ Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster