Mõni aeg tagasi kirjutasin sellest , aga veidi kasin ja kaootiline. Pärast otsustasin arvustuses olevate tööriistade loendit laiendada, lisada artiklile struktuuri ja võtta arvesse kriitikat (suur tänu nõu saamiseks) ja saatis selle SecLabi konkursile (ja avaldas , kuid ilmselgetel põhjustel ei näinud keegi teda). Konkurss on läbi, tulemused selgunud ja puhta südametunnistusega võin selle (artikli) Habré lehel avaldada.
Tasuta veebirakenduse Pentesteri tööriistad
Selles artiklis räägin kõige populaarsematest tööriistadest veebirakenduste pentestimiseks (läbivustestid), kasutades "musta kasti" strateegiat.
Selleks vaatame utiliite, mis aitavad seda tüüpi testimisel. Mõelge järgmistele tootekategooriatele:
- Võrguskannerid
- Veebiskriptide rikkumise skannerid
- Ärakasutamine
- Süstimise automatiseerimine
- Silujad (nuusutajad, kohalikud puhverserverid jne)
Mõnel tootel on universaalne "iseloom", seega liigitan need kategooriasse, kuhu neil on aоparem tulemus (subjektiivne arvamus).
Võrguskannerid.
Peamine ülesanne on saadaolevate võrguteenuste avastamine, nende versioonide installimine, OS-i määramine jne.
Nmap
on tasuta avatud lähtekoodiga utiliit võrgu analüüsiks ja süsteemi turvaauditiks. Konsooli vägivaldsed vastased saavad kasutada Zenmapi, mis on Nmapi GUI.
See pole lihtsalt "nutikas" skanner, see on tõsine laiendatav tööriist (üks "ebatavalistest funktsioonidest" on skripti olemasolu sõlme kontrollimiseks ussi olemasolu suhtes "" (mainitud ). Tüüpiline kasutusnäide:
nmap -A -T4 localhost
-A OS-i versiooni tuvastamiseks, skripti skannimiseks ja jälgimiseks
-T4 ajakontrolli seadistus (rohkem on kiirem, vahemikus 0 kuni 5)
localhost – sihthost
Midagi karmimat?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
See on Zenmapi "aeglase põhjaliku skannimise" profiili valikute komplekt. Selle täitmine võtab üsna kaua aega, kuid annab lõpuks täpsemat teavet, mida saab sihtsüsteemi kohta teada saada. , kui otsustate süvitsi minna, soovitan ka artikli tõlkida .
Nmap on saanud "Aasta turvatoote" staatuse sellistelt ajakirjadelt ja kogukondadelt nagu Linux Journal, Info World, LinuxQuestions.Org ja Codetalker Digest.
Huvitav punkt, Nmap on näha filmides "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" ja .
IP-Tools
- teatud tüüpi erinevate võrguutiliitide komplekt, mis on varustatud GUI-ga, mis on "pühendatud" Windowsi kasutajatele.
Pordiskanner, jagatud ressursid (jagatud printerid/kaustad), WhoIs/Finger/Lookup, telneti klient ja palju muud. Lihtsalt mugav, kiire ja funktsionaalne tööriist.
Muude toodetega pole erilist mõtet kaaluda, kuna selles valdkonnas on palju utiliite ning neil kõigil on sarnased tööpõhimõtted ja funktsionaalsus. Siiski on nmap endiselt kõige sagedamini kasutatav.
Veebiskriptide rikkumise skannerid
Populaarsete turvaaukude (SQL inj, XSS, LFI/RFI jne) või vigade (kustutamata ajutiste failide, kataloogide indekseerimine jne) otsimine
Acunetixi veebihaavatavuse skanner
— lingilt näete, et tegemist on xss-skanneriga, kuid see pole päris tõsi. Siin saadaval olev tasuta versioon pakub üsna palju funktsioone. Tavaliselt kogeb inimene, kes kasutab seda skannerit esimest korda ja saab esimest korda oma ressursi kohta aruande, kerge šoki ja saate aru, miks seda tehes. See on väga võimas toode igasuguste veebisaidi haavatavuste analüüsimiseks ja töötab mitte ainult tavaliste PHP veebisaitidega, vaid ka muudes keeltes (kuigi keele erinevus ei ole näitaja). Juhiste kirjeldamisel pole erilist mõtet, kuna skanner lihtsalt "närib" kasutaja toimingud. Midagi sarnast tüüpilise tarkvarainstalli funktsiooniga "järgmine, järgmine, järgmine, valmis".
Nikto
See on avatud lähtekoodiga (GPL) veebiroomaja. Kõrvaldab rutiinse käsitsitöö. Otsib sihtsaidilt kustutamata skripte (mõned test.php, index_.php jne), andmebaasi haldustööriistu (/phpmyadmin/, /pma jms) jne, st kontrollib ressurssi levinumate vigade suhtes tavaliselt põhjustatud inimteguritest.
Lisaks, kui see leiab mõne populaarse skripti, kontrollib see seda vabastatud rünnakute osas (mis on andmebaasis).
Teatab saadaolevatest "soovimatutest" meetoditest, nagu PUT ja TRACE
Ja nii edasi. See on väga mugav, kui töötate audiitorina ja analüüsite veebisaite iga päev.
Miinustest tahaksin märkida valepositiivsete tulemuste suurt protsenti. Näiteks kui teie sait annab alati peamise vea 404 vea asemel (millal see peaks ilmnema), siis skanner ütleb, et teie sait sisaldab kõiki skripte ja kõiki selle andmebaasi turvaauke. Praktikas ei juhtu seda nii sageli, kuid tegelikult sõltub palju teie saidi struktuurist.
Klassikaline kasutus:
./nikto.pl -host localhost
Kui teil on vaja saidil luba saada, saate failis nikto.conf määrata küpsise, muutuja STATIC-COOKIE.
Wikto
— Nikto Windowsile, kuid mõningate täiendustega, näiteks "hägune" loogika koodi vigade kontrollimisel, GHDB kasutamine, linkide ja ressursikaustade hankimine, HTTP päringute/vastuste reaalajas jälgimine. Wikto on kirjutatud C# keeles ja nõuab .NET raamistikku.
hüpikala
- veebi haavatavuse skanner (tuntud kui lcamtuf). Kirjutatud C-keeles, platvormideülene (Win nõuab Cygwini). Rekursiivselt (ja väga pikka aega, umbes 20–40 tundi, kuigi viimati töötas see minu jaoks 96 tundi) roomab see läbi kogu saidi ja leiab igasuguseid turvaauke. Samuti tekitab see palju liiklust (mitu GB sissetulevat/väljuvat). Kuid kõik vahendid on head, eriti kui teil on aega ja ressursse.
Tüüpiline kasutus:
./skipfish -o /home/reports www.example.com
Kaustas "Aruanded" on aruanne html-vormingus, .
w3af
— Web Application Attack and Audit Framework, avatud lähtekoodiga veebihaavatavuse skanner. Sellel on GUI, kuid saate töötada ka konsoolilt. Täpsemalt on see raamistik .
Selle eelistest võib pikalt rääkida, parem on proovida :] Tavaline töö sellega taandub profiili valikule, eesmärgi täpsustamisele ja tegelikult ka käivitamisele.
Mantra turvaraamistik
on unistus, mis täitus. Veebibrauserisse sisseehitatud tasuta ja avatud infoturbe tööriistade kogu.
Väga kasulik veebirakenduste testimisel igal etapil.
Kasutamine taandub brauseri installimisele ja käivitamisele.
Tegelikult on selles kategoorias palju utiliite ja nende hulgast on üsna keeruline konkreetset loendit valida. Kõige sagedamini määrab iga pentester ise endale vajalike tööriistade komplekti.
Ärakasutamine
Turvaaukude automatiseeritud ja mugavamaks ärakasutamiseks kirjutatakse exploitid tarkvaras ja skriptides, millele tuleb turvaaugu ärakasutamiseks edastada vaid parameetreid. Ja on tooteid, mis välistavad vajaduse rämpsu käsitsi otsida ja neid isegi lennult rakendada. Seda kategooriat arutatakse nüüd.
Metasploit raamistik
- omamoodi koletis meie äris. Ta saab teha nii palju, et juhised hõlmavad mitut artiklit. Vaatleme automaatset kasutamist (nmap + metasploit). Lõpptulemus on järgmine: Nmap analüüsib meile vajalikku porti, installib teenuse ja metasploit proovib sellele teenuseklassi (ftp, ssh jne) alusel exploite rakendada. Tekstijuhiste asemel lisan video, mis on üsna populaarne teemal autopwn
Või võime lihtsalt automatiseerida vajaliku ärakasutamise. Nt:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Tegelikult on selle raamistiku võimalused väga ulatuslikud, nii et kui otsustate minna sügavamale, minge aadressile
Armitage
- küberpungi žanri GUI OVA Metasploiti jaoks. Visualiseerib sihtmärki, soovitab kasutusviise ja pakub raamistiku täiustatud funktsioone. Üldiselt neile, kellele meeldib kõik ilus ja muljetavaldav välja näha.
Ekraanisaade:
Vastupidav Nessus®
- saab teha palju asju, kuid üks võimekus, mida me sellelt vajame, on kindlaks teha, millistel teenustel on eeliseid. Toote tasuta versioon "ainult kodus"
Использование:
- Alla laaditud (teie süsteemi jaoks), installitud, registreeritud (võti saadetakse teie meilile).
- Käivitas serveri, lisas kasutaja Nessuse serverihaldurisse (nupp Halda kasutajaid)
- Läheme aadressile
https://localhost:8834/
ja hankige brauserisse flash-klient
- Skannid -> Lisa -> täitke väljad (valides meile sobiva skannimisprofiili) ja klõpsake nuppu Skanni
Mõne aja pärast kuvatakse skannimisaruanne vahekaardil Aruanded
Et kontrollida teenuste praktilist haavatavust ärakasutamise suhtes, võite kasutada ülalkirjeldatud Metasploit Frameworki või proovida leida ärakasutamist (näiteks , , jne) ja kasutage seda käsitsi vastu selle süsteem
IMHO: liiga mahukas. Tõin ta üheks liidriks sellel tarkvaratööstuse suunal.
Süstimise automatiseerimine
Paljud veebirakenduste sec-skannerid otsivad süste, kuid need on siiski vaid üldised skannerid. Ja on utiliite, mis tegelevad spetsiaalselt süstide otsimise ja kasutamisega. Me räägime neist nüüd.
sqlmap
— avatud lähtekoodiga utiliit SQL-i süstide otsimiseks ja kasutamiseks. Toetab selliseid andmebaasiservereid nagu: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Tüüpiline kasutus taandub järgmisele reale:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Käsiraamatuid on piisavalt, ka venekeelseid. Tarkvara hõlbustab oluliselt pentesteri tööd selle alaga töötades.
Lisan ametliku videodemonstratsiooni:
bsqlbf-v2
- perli skript, jõhker jõuseade "pimedate" SQL-i süstide jaoks. See töötab nii täisarvude väärtustega URL-is kui ka stringiväärtustega.
Toetatud andmebaas:
- MS-SQL
- MySQL
- PostgreSQL
- Oraakel
Kasutusnäide:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — link parameetritega
- pime u — süstimise parameeter (vaikimisi võetakse aadressiribalt viimane)
-sql "vali tabeli_nimi elemendist imformation_schema.tables limiit 1 nihe 0" — meie meelevaldne päring andmebaasile
- andmebaas 1 — andmebaasiserver: MSSQL
-tüüp 1 — ründe tüüp, "pime" süstimine, mis põhineb tõese ja vea (nt süntaksivead) vastustel
Silujad
Neid tööriistu kasutavad peamiselt arendajad, kui neil on probleeme oma koodi täitmise tulemustega. Kuid see suund on kasulik ka pentestimisel, kui saame vajalikud andmed käigu pealt välja vahetada, analüüsida, mis meie sisendparameetritele vastuseks tuleb (näiteks fuzzimise ajal) jne.
Burp sviit
— utiliitide komplekt, mis aitab läbitungimisteste teha. See on Internetis vene keeles Raz0r-st (küll 2008. aasta jaoks).
Tasuta versioon sisaldab:
- Burp Proxy on kohalik puhverserver, mis võimaldab teil muuta brauserist juba loodud päringuid
- Burp Spider – ämblik, otsib olemasolevaid faile ja katalooge
- Burp Repeater – HTTP päringute käsitsi saatmine
- Burp Sequencer - juhuslike väärtuste analüüsimine vormides
- Burp Decoder on tavaline kodeerija-dekooder (html, base64, hex jne), mida on tuhandeid ja mida saab kiiresti kirjutada mis tahes keeles
- Burp Comparer - String Comparison Component
Põhimõtteliselt lahendab see pakett peaaegu kõik selle valdkonnaga seotud probleemid.
Viiuldaja
— Fiddler on silumispuhverserver, mis logib kogu HTTP(S) liikluse. Võimaldab teil seda liiklust uurida, seada katkestuspunkte ja "mängida" sissetulevate või väljaminevate andmetega.
On ka , koletis ja teised, valik on kasutaja enda teha.
Järeldus
Loomulikult on igal pentesteril oma arsenal ja oma utiliitide komplekt, kuna neid on lihtsalt palju. Püüdsin loetleda mõned kõige mugavamad ja populaarsemad. Kuid selleks, et keegi saaks tutvuda teiste sellesuunaliste utiliitidega, annan allpool lingid.
Erinevad skannerite ja utiliitide tipud/loendid
- .
Linuxi distributsioonid, mis sisaldavad juba hunnikut erinevaid eeltestimisutiliite
upd: vene keeles “Hack4Sec” meeskonnast (lisatud )
PS Me ei saa XSpiderist vaikida. Arvustuses ei osale, kuigi tegemist on jagamisvaraga (sain teada, kui artikli SecLabi saatsin, tegelikult just sellepärast (mitte teadmised ja uusima versiooni 7.8 puudumine) ega lisanud seda artiklisse). Ja teoreetiliselt oli selle ülevaatamine plaanis (mul on selleks ette valmistatud keerulised testid), kuid ma ei tea, kas maailm seda näeb.
PPS Osa artiklist pärit materjali kasutatakse sihtotstarbeliselt eelseisvas aruandes aadressil 2012 QA rubriigis, mis sisaldab siin mainimata tööriistu (loomulikult tasuta), samuti algoritmi, millises järjekorras mida kasutada, millist tulemust oodata, milliseid konfiguratsioone kasutada ja igasuguseid näpunäiteid ja nippe, millal töötamine (mõtlen aruandele peaaegu iga päev, püüan teile kõike head selle teema kohta rääkida)
Muide, selle artikli kohta oli õppetund aadressil Avatud InfoSeci päevad (, ), saab röövida korovanlasi Vaata .
Allikas: www.habr.com