Veebitööriistad või kust peaks pentester alustama?

Me jätkame räägi pentestijatele kasulikest tööriistadest. Uues artiklis vaatleme veebirakenduste turvalisuse analüüsimise tööriistu.

Meie kolleeg BeLove Ma olen midagi sellist juba teinud koostamine umbes seitse aastat tagasi. Huvitav on näha, millised tööriistad on oma positsioone säilitanud ja tugevdanud ning millised on tagaplaanile vajunud ja neid kasutatakse nüüd harva.


Pange tähele, et see hõlmab ka Burp Suite'i, kuid selle ja selle kasulike pistikprogrammide kohta ilmub eraldi väljaanne.

Sisukord:

• Amass
• Altdns
• akvatoon
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Nõrkpääs
• AEM_hacker
• JoomScan
• WPScan

Amass

Amass - Go tööriist DNS-i alamdomeenide otsimiseks ja loendamiseks ning välisvõrgu kaardistamiseks. Amass on OWASP projekt, mille eesmärk on näidata, millised organisatsioonid Internetis kõrvalseisjale välja näevad. Amass hangib alamdomeeninimesid mitmel viisil; tööriist kasutab nii alamdomeenide rekursiivset loendamist kui ka avatud lähtekoodiga otsinguid.

Omavahel ühendatud võrgusegmentide ja autonoomsete süsteeminumbrite avastamiseks kasutab Amass töö käigus saadud IP-aadresse. Kogu leitud teavet kasutatakse võrgukaardi koostamiseks.

plussid:

• Teabe kogumise tehnikad hõlmavad järgmist:
  * DNS - alamdomeenide sõnastikuotsing, bruteforce alamdomeenid, nutikas otsing leitud alamdomeenide põhjal mutatsioonide abil, pöörd-DNS-päringud ja DNS-serverite otsing, kus on võimalik teha tsooniülekande taotlus (AXFR);

  * Avatud lähtekoodiga otsing – Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Otsi TLS-i sertifikaatide andmebaasidest – Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Otsingumootori API kasutamine – BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Otsige Interneti veebiarhiividest: ArchiveIt, ArchiveToday, Arquivo, LoCARchive, OpenUKArchive, UKGovArchive, Wayback;

• Integratsioon Maltegoga;
• Pakub DNS-i alamdomeenide otsimise ülesande kõige täielikumat katvust.

miinuseid:

• Olge amass.netdomainsiga ettevaatlik – see proovib võtta ühendust tuvastatud infrastruktuuri iga IP-aadressiga ja hankida domeeninimesid pöörd-DNS-i otsingutest ja TLS-i sertifikaatidest. See on "kõrge profiiliga" tehnika, mis võib paljastada teie luuretegevuse uuritavas organisatsioonis.
• Suur mälutarbimine, võib erinevates seadetes tarbida kuni 2 GB muutmälu, mis ei võimalda teil seda tööriista odava VDS-i pilves käivitada.

Altdns

Altdns — Pythoni tööriist DNS-i alamdomeenide loetlemiseks sõnastike koostamiseks. Võimaldab mutatsioonide ja permutatsioonide abil luua palju alamdomeenide variante. Selleks kasutatakse sageli alamdomeenides leiduvaid sõnu (näiteks: test, dev, staging), kõik mutatsioonid ja permutatsioonid rakendatakse juba teadaolevatele alamdomeenidele, mida saab esitada Altdnsi sisendisse. Väljund on loend alamdomeenide variatsioonidest, mis võivad eksisteerida, ja seda loendit saab hiljem kasutada DNS-i jõhkraks jõuks.

plussid:

• Töötab hästi suurte andmekogumitega.

akvatoon

akvatoon - oli varem rohkem tuntud kui teine ​​alamdomeenide otsimise tööriist, kuid autor ise loobus sellest eelmainitud Amassi kasuks. Nüüd on aquatone Go-s ümber kirjutatud ja see on rohkem suunatud veebisaitide esialgsele tutvumisele. Selleks läbib aquatone määratud domeenid ja otsib erinevatest portidest veebisaite, misjärel kogub saidi kohta kogu teabe ja teeb ekraanipildi. Mugav veebisaitide kiireks eeluurimiseks, mille järel saate valida rünnakute jaoks prioriteetsed sihtmärgid.

plussid:

• Väljund loob failide ja kaustade rühma, mida on mugav kasutada muude tööriistadega edasisel töötamisel:
  * HTML-aruanne kogutud ekraanipiltide ja vastuste pealkirjadega, mis on rühmitatud sarnasuse järgi;

  * Fail kõigi URL-idega, kust veebisaite leiti;

  * Fail statistika ja leheandmetega;

  * Kaust failidega, mis sisaldavad leitud sihtmärkide vastusepäiseid;

  * Kaust failidega, mis sisaldavad leitud sihtmärkide vastuse sisu;

  * Leitud veebisaitide ekraanipildid;

• Toetab töötamist Nmapi ja Masscani XML-aruannetega;
• Kasutab ekraanipiltide renderdamiseks peata Chrome'i/Chromiumi.

miinuseid:

• See võib äratada sissetungituvastussüsteemide tähelepanu, mistõttu vajab see konfigureerimist.

Ekraanipilt tehti aquatone'i ühe vana versiooni (v0.5.0) jaoks, milles oli rakendatud DNS-i alamdomeeniotsing. Vanemad versioonid leiate aadressilt väljaannete leht.

MassDNS

MassDNS on veel üks tööriist DNS-i alamdomeenide leidmiseks. Selle peamine erinevus seisneb selles, et see teeb DNS-päringuid otse paljudele erinevatele DNS-i lahendajatele ja teeb seda märkimisväärse kiirusega.

plussid:

• Kiire - suudab lahendada rohkem kui 350 tuhat nime sekundis.

miinuseid:

• MassDNS võib põhjustada kasutatavate DNS-lahendajate märkimisväärset koormust, mis võib viia nende serverite keelamiseni või teie Interneti-teenuse pakkujale kaebusteni. Lisaks paneb see suure koormuse ettevõtte DNS-serveritele, kui neil need on ja kui nad vastutavad domeenide eest, mida proovite lahendada.
• Lahendajate nimekiri on hetkel aegunud, aga kui valid katkised DNS-lahutajad ja lisad uued teadaolevad, on kõik korras.

Ekraanitõmmis aquatone'i versioonist 0.5.0

nsec3map

nsec3map on Pythoni tööriist DNSSEC-kaitsega domeenide täieliku loendi hankimiseks.

plussid:

• Kui DNSSEC-i tugi on tsoonis lubatud, tuvastab DNS-tsoonides hostid kiiresti minimaalse päringute arvuga;
• Sisaldab John the Ripperi pistikprogrammi, mida saab kasutada saadud NSEC3 räsi purustamiseks.

miinuseid:

• Paljusid DNS-i tõrkeid ei käsitleta õigesti;
• NSEC-kirjete töötlemise automaatset paralleelseerimist ei toimu – nimeruumi tuleb käsitsi jagada;
• Suur mälutarbimine.

Acunetix

Acunetix — veebihaavatavuse skanner, mis automatiseerib veebirakenduste turvalisuse kontrollimise protsessi. Testib rakendust SQL-i süstide, XSS-i, XXE, SSRF-i ja paljude muude veebihaavatavuste suhtes. Kuid nagu iga teinegi skanner, ei asenda mitmesugused veebihaavatavused pentesterit, kuna see ei leia keerulisi haavatavuste ahelaid või loogikast. Kuid see hõlmab palju erinevaid turvaauke, sealhulgas erinevaid CVE-sid, mille pentester võib-olla unustas, seega on see väga mugav, et vabastada teid rutiinsetest kontrollidest.

plussid:

• Madal valepositiivsete tulemuste tase;
• Tulemusi saab eksportida aruannetena;
• Viib läbi suure hulga erinevate haavatavuste kontrolle;
• Mitme hosti paralleelne skaneerimine.

miinuseid:

• Puudub deduplikatsioonialgoritm (Acunetix peab funktsionaalsuselt identseid lehti erinevateks, kuna need viivad erinevatele URL-idele), kuid arendajad töötavad selle kallal;
• Nõuab installimist eraldi veebiserverisse, mis raskendab VPN-ühendusega klientsüsteemide testimist ja skanneri kasutamist kohaliku kliendivõrgu eraldatud segmendis;
• Uuritav teenus võib tekitada müra, näiteks saates saidi kontaktvormile liiga palju ründevektoreid, muutes sellega äriprotsessid oluliselt keerulisemaks;
• See on patenteeritud ja seega mitte tasuta lahendus.

Dirsearch

Dirsearch — Pythoni tööriist kataloogide ja failide jõhkraks sundimiseks veebisaitidel.

plussid:

• Oskab eristada päris “200 OK” lehekülgi “200 OK” lehtedest, kuid tekstiga “lehekülge ei leitud”;
• Kaasas mugav sõnastik, mille suuruse ja otsingu tõhususe vahel on hea tasakaal. Sisaldab standardseid teid, mis on ühised paljudele CMS-i ja tehnoloogiapakkidele;
• Oma sõnastikuvorming, mis võimaldab teil saavutada failide ja kataloogide loendamisel hea efektiivsuse ja paindlikkuse;
• Mugav väljund – lihttekst, JSON;
• See võib teha piiranguid – pausi päringute vahel, mis on iga nõrga teenuse puhul ülioluline.

miinuseid:

• Laiendused tuleb edastada stringina, mis on ebamugav, kui on vaja edastada palju laiendeid korraga;
• Sõnastiku kasutamiseks tuleb seda maksimaalse efektiivsuse huvides veidi muuta, et muuta see sõnaraamatu vorminguks Dirsearch.

wfuzz

wfuzz - Pythoni veebirakenduste fuzzer. Tõenäoliselt üks kuulsamaid veebifaasireid. Põhimõte on lihtne: wfuzz võimaldab teil faasida HTTP päringus mis tahes kohta, mis võimaldab faasida GET/POST parameetreid, HTTP päiseid, sealhulgas küpsiseid ja muid autentimispäiseid. Samas on see mugav ka kataloogide ja failide lihtsaks jõhkraks jõuks, mille jaoks on vaja head sõnastikku. Sellel on ka paindlik filtrisüsteem, millega saad erinevate parameetrite järgi filtreerida kodulehelt vastuseid, mis võimaldab saavutada efektiivseid tulemusi.

plussid:

• Multifunktsionaalne - modulaarne struktuur, kokkupanek võtab paar minutit;
• Mugav filtreerimis- ja hägustamismehhanism;
• Saate määrata mis tahes HTTP-meetodi ja ka HTTP-päringu mis tahes koha.

miinuseid:

• Väljatöötamisel.

ffuf

ffuf - veebifuzzer Go-s, mis on loodud wfuzzi "pildi ja sarnasuse" järgi, võimaldab teil jämedalt töödelda faile, katalooge, URL-i teid, GET/POST-i parameetrite nimesid ja väärtusi, HTTP-päiseid, sh hosti päist jõhkra jõu jaoks. virtuaalsetest hostidest. wfuzz erineb oma vennast suurema kiiruse ja mõne uue funktsiooni poolest, näiteks toetab see Dirsearchi vormingus sõnastikke.

plussid:

• Filtrid sarnanevad wfuzz-filtritega, võimaldavad paindlikult konfigureerida toore jõudu;
• Võimaldab segada HTTP-päise väärtusi, POST-i päringu andmeid ja URL-i erinevaid osi, sealhulgas GET-parameetrite nimesid ja väärtusi;
• Saate määrata mis tahes HTTP-meetodi.

miinuseid:

• Väljatöötamisel.

gobuster

gobuster — Luureks mõeldud Go tööriist, millel on kaks töörežiimi. Esimest kasutatakse veebisaidi failide ja kataloogide jõhkraks jõustamiseks, teist kasutatakse DNS-i alamdomeenide jõhkraks jõustamiseks. Tööriist ei toeta algselt failide ja kataloogide rekursiivset loendamist, mis muidugi säästab aega, kuid teisalt tuleb iga uue veebilehe lõpp-punkti jõhker jõud eraldi käivitada.

plussid:

• Suur töökiirus nii DNS-i alamdomeenide jõhkra jõuga otsimiseks kui ka failide ja kataloogide jõhkra jõuga otsimiseks.

miinuseid:

• Praegune versioon ei toeta HTTP-päiste seadistamist;
• Vaikimisi loetakse kehtivaks ainult osa HTTP olekukoode (200,204,301,302,307 XNUMX XNUMX XNUMX XNUMX).

Arjun

Arjun - tööriist peidetud HTTP parameetrite jõhkraks jõuks nii GET/POST parameetrites kui ka JSONis. Sisseehitatud sõnastikus on 25 980 sõna, mida Ajrun kontrollib peaaegu 30 sekundiga. Nipp seisneb selles, et Ajrun ei kontrolli iga parameetrit eraldi, vaid kontrollib ~1000 parameetrit korraga ja vaatab, kas vastus on muutunud. Kui vastus on muutunud, jagab see 1000 parameetrit kaheks osaks ja kontrollib, milline neist osadest vastust mõjutab. Seega leitakse lihtsa binaarotsingu abil parameeter või mitu peidetud parameetrit, mis mõjutasid vastust ja võivad seetõttu eksisteerida.

plussid:

• Suur kiirus binaarse otsingu tõttu;
• GET/POST parameetrite tugi, samuti parameetrid JSON-vormingus;

Burp Suite'i pistikprogramm töötab sarnasel põhimõttel - param-kaevur, mis on ka väga hea peidetud HTTP parameetrite leidmisel. Räägime teile sellest lähemalt tulevases artiklis Burpi ja selle pistikprogrammide kohta.

LinkFinder

LinkFinder — Pythoni skript linkide otsimiseks JavaScripti failides. Kasulik peidetud või unustatud lõpp-punktide/URL-ide leidmiseks veebirakenduses.

plussid:

• Kiire;
• Chrome'i jaoks on LinkFinderil põhinev spetsiaalne pistikprogramm.

.

miinuseid:

• Ebamugav lõppjäreldus;
• Ei analüüsi JavaScripti aja jooksul;
• Üsna lihtne loogika linkide otsimiseks – kui JavaScript on kuidagi ähmastunud või lingid algselt puuduvad ja genereeritakse dünaamiliselt, siis ei leia ta midagi.

JSParser

JSParser on Pythoni skript, mis kasutab Tornaado и JSBeautifier suhteliste URL-ide sõelumiseks JavaScripti failidest. Väga kasulik AJAX-i päringute tuvastamiseks ja API-meetodite loendi koostamiseks, millega rakendus suhtleb. Töötab tõhusalt koos LinkFinderiga.

plussid:

• JavaScripti failide kiire sõelumine.

sqlmap

sqlmap on ilmselt üks kuulsamaid veebirakenduste analüüsimise tööriistu. Sqlmap automatiseerib SQL-i süstide otsimist ja toimimist, töötab mitme SQL-dialektiga ja selle arsenalis on tohutul hulgal erinevaid tehnikaid, alates otsepakkumistest kuni keerukate vektoriteni ajapõhiste SQL-i süstide jaoks. Lisaks on sellel palju tehnikaid erinevate DBMS-ide edasiseks kasutamiseks, seega pole see kasulik mitte ainult SQL-i süstide skannerina, vaid ka võimsa tööriistana juba leitud SQL-i süstide kasutamiseks.

plussid:

• Suur hulk erinevaid tehnikaid ja vektoreid;
• Madal valepositiivsete tulemuste arv;
• Paljud peenhäälestusvõimalused, erinevad tehnikad, sihtandmebaas, võltsimisskriptid WAF-ist mööda hiilimiseks;
• Võimalus luua väljundi prügila;
• Palju erinevaid töövõimalusi, näiteks mõne andmebaasi puhul - failide automaatne laadimine/mahalaadimine, käskude täitmise võime (RCE) saamine jm;
• Andmebaasiga otseühenduse tugi, kasutades rünnaku käigus saadud andmeid;
• Saate sisestada tekstifaili Burpi tulemustega – kõiki käsurea atribuute pole vaja käsitsi koostada.

miinuseid:

• Seda on raske kohandada, näiteks mõne oma tšeki kirjutamist, kuna selle kohta on vähe dokumente;
• Ilma sobivate säteteta teostab see mittetäieliku kontrollikomplekti, mis võib olla eksitav.

NoSQLMap

NoSQLMap — Pythoni tööriist NoSQL-i süstide otsimise ja kasutamise automatiseerimiseks. Seda on mugav kasutada mitte ainult NoSQL-i andmebaasides, vaid ka otse NoSQL-i kasutavate veebirakenduste auditeerimisel.

plussid:

• Nagu sqlmap, ei leia see mitte ainult potentsiaalset haavatavust, vaid kontrollib ka selle ärakasutamise võimalust MongoDB ja CouchDB jaoks.

miinuseid:

• Ei toeta NoSQL-i Redise, Cassandra jaoks, arendus selles suunas käib.

oxml_xxe

oxml_xxe — tööriist XXE XML exploite manustamiseks erinevat tüüpi failidesse, mis kasutavad mingil kujul XML-vormingut.

plussid:

• Toetab paljusid levinud vorminguid, nagu DOCX, ODT, SVG, XML.

miinuseid:

• PDF-i, JPEG-i, GIF-i tugi pole täielikult rakendatud;
• Loob ainult ühe faili. Selle probleemi lahendamiseks saate tööriista kasutada docem, mis võib erinevates kohtades luua suure hulga kasulikke faile.

Ülaltoodud utiliidid saavad XML-i sisaldavate dokumentide laadimisel XXE testimisel suurepäraselt hakkama. Kuid pidage meeles ka seda, et XML-vormingu töötlejaid võib leida ka paljudel muudel juhtudel, näiteks saab JSON-i asemel andmevorminguna kasutada XML-i.

Seetõttu soovitame teil pöörata tähelepanu järgmisele hoidlale, mis sisaldab suurt hulka erinevaid kasulikke koormusi: PayloadsAllTheThings.

tplmap

tplmap - Pythoni tööriist serveripoolse malli sisestamise haavatavuste automaatseks tuvastamiseks ja ärakasutamiseks; sellel on sqlmapiga sarnased sätted ja lipud. Kasutab mitut erinevat tehnikat ja vektorit, sealhulgas pimesüsti, ning omab ka tehnikaid koodi täitmiseks ja suvaliste failide laadimiseks/üleslaadimiseks. Lisaks on tema arsenalis kümnekonna erineva mallimootori tehnika ja mõned tehnikad eval()-laadsete koodisüstide otsimiseks Pythonis, Ruby's, PHP-s, JavaScriptis. Edu korral avab see interaktiivse konsooli.

plussid:

• Suur hulk erinevaid tehnikaid ja vektoreid;
• Toetab paljusid mallide renderdusmootoreid;
• Palju operatsioonitehnikaid.

CeWL

CeWL - Ruby sõnastikugeneraator, mis on loodud konkreetselt veebisaidilt ainulaadsete sõnade eraldamiseks, järgib saidil olevaid linke määratud sügavusele. Koostatud kordumatute sõnade sõnastikku saab hiljem kasutada teenuste või sama veebisaidi failide ja kataloogide jõhkra jõuga paroolide sundimiseks või saadud räside ründamiseks hashcati või John the Ripperi abil. Kasulik potentsiaalsete paroolide sihtloendi koostamisel.

plussid:

• Lihtne kasutada.

miinuseid:

• Peate olema otsingu sügavusega ettevaatlik, et mitte jäädvustada täiendavat domeeni.

Nõrkpääs

Nõrkpääs - teenus, mis sisaldab palju ainulaadsete paroolidega sõnastikke. Äärmiselt kasulik mitmesuguste paroolimurdmisega seotud ülesannete jaoks, alates lihtsast võrgus sihtteenuste kontode jõhkrast jõust kuni võrguühenduseta vastuvõetud räsi kasutamiseni. hashcat või John The Ripper. See sisaldab umbes 8 miljardit parooli pikkusega 4 kuni 25 tähemärki.

plussid:

• Sisaldab nii konkreetseid sõnastikke kui ka enamlevinud paroolidega sõnastikke – saate valida konkreetse sõnastiku enda vajaduste järgi;
• Sõnaraamatuid uuendatakse ja täiendatakse uute paroolidega;
• Sõnaraamatud on sorteeritud tõhususe järgi. Saate valida nii kiire veebipõhise toore jõu kasutamise kui ka üksikasjaliku paroolivaliku võimaluse mahukast sõnastikust, millel on viimased lekked;
• Seal on kalkulaator, mis näitab aega, mis kulub teie seadmete paroolide hävitamiseks.

Soovime lisada CMS-i kontrollimise tööriistad eraldi rühma: WPScan, JoomScan ja AEM häkker.

AEM_hacker

AEM häkker on tööriist Adobe Experience Manageri (AEM) rakenduste haavatavuste tuvastamiseks.

plussid:

• suudab tuvastada AEM-rakendusi selle sisendisse esitatud URL-ide loendist;
• Sisaldab skripte RCE hankimiseks JSP-kesta laadimise või SSRF-i ärakasutamise teel.

JoomScan

JoomScan — Perli tööriist haavatavuste tuvastamise automatiseerimiseks Joomla CMS-i juurutamisel.

plussid:

• Oskab leida konfiguratsioonivigu ja probleeme haldussätetega;
• Loetleb Joomla versioonid ja nendega seotud haavatavused sarnaselt üksikute komponentide jaoks;
• Sisaldab rohkem kui 1000 Joomla komponentide kasutust;
• Lõpparuannete väljastamine teksti- ja HTML-vormingus.

WPScan

WPScan - WordPressi saitide skannimise tööriist, selle arsenalis on turvaauke nii WordPressi mootori enda kui ka mõne plugina jaoks.

plussid:

• Võimaldab loetleda mitte ainult ohtlikke WordPressi pistikprogramme ja teemasid, vaid hankida ka kasutajate loendit ja TimThumb-faile;
• Saab WordPressi saitidel läbi viia jõhkra jõu rünnakuid.

miinuseid:

• Ilma sobivate säteteta teostab see mittetäieliku kontrollikomplekti, mis võib olla eksitav.

Üldiselt eelistavad erinevad inimesed tööks erinevaid tööriistu: need on kõik omamoodi head ja see, mis ühele meeldib, ei pruugi teisele üldse sobida. Kui arvate, et oleme mõnda head utiliiti ebaõiglaselt ignoreerinud, kirjutage sellest kommentaarides!

Allikas: www.habr.com