Duela denbora pixka bat idatzi nuen , baina apur bat eskasa eta kaotikoa. Ondoren, errebisioko tresnen zerrenda zabaltzea, artikuluari egitura gehitzea eta kritikak kontuan hartzea erabaki nuen (mila esker aholku eskatzeko) eta SecLab-eko lehiaketa batera bidali (eta argitaratu , baina ageriko arrazoi guztiengatik inork ez zuen ikusi). Lehiaketa amaitu da, emaitzak iragarrita eta kontzientzia garbiarekin (artikulua) Habré-n argitaratu dezaket.
Doako Web Aplikazioa Pentester Tresnak
Artikulu honetan "kutxa beltza" estrategia erabiliz web aplikazioen pentesting (sartze-probak) tresna ezagunenei buruz hitz egingo dut.
Horretarako, proba mota honetan lagunduko duten utilitateak aztertuko ditugu. Kontuan izan produktu-kategoria hauek:
- Sareko eskanerrak
- Web script-a hausteko eskanerrak
- esplotazioa
- Injekzioen automatizazioa
- Araztaileak (sniffer-ak, proxy lokalak, etab.)
Produktu batzuek "izaera" unibertsala dute, beraz, a duten kategorian sailkatuko ditutоemaitza hobea (iritzi subjektiboa).
Sareko eskanerrak.
Zeregin nagusia sareko zerbitzuak aurkitzea da, haien bertsioak instalatzea, sistema eragilea zehaztea, etab.
nmap
Doako eta kode irekiko erabilgarritasun bat da sarearen analisia eta sistemaren segurtasuna ikuskatzeko. Kontsolaren aurkari bortitzek Zenmap erabil dezakete, hau da, Nmap-erako GUI bat.
Hau ez da eskaner "adimentsua" soilik, tresna hedagarri serio bat da ("ezohiko ezaugarrietako bat" nodo bat harra dagoen egiaztatzeko script baten presentzia da "."(aipatu ). Erabilera-adibide tipikoa:
nmap -A -T4 localhost
-A OS bertsioa detektatzeko, script-en eskaneatzeko eta trazatzeko
-T4 denbora kontrolatzeko ezarpena (gehiago azkarragoa da, 0tik 5era)
localhost - xede ostalaria
Zerbait gogorragoa?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Hau Zenmap-eko "eskaneatze integral motela" profilaren aukera multzo bat da. Osatzeko denbora nahiko luzea behar da, baina azken finean helburu-sistemari buruz aurki daitekeen informazio zehatzagoa eskaintzen du. , sakontzea erabakitzen baduzu, artikulua itzultzea ere gomendatzen dizut .
Nmap-ek "Urteko Segurtasun Produktua" estatusa jaso du aldizkari eta komunitateetatik, hala nola Linux Journal, Info World, LinuxQuestions.Org eta Codetalker Digest.
Puntu interesgarria, Nmap "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" eta filmetan ikus daiteke. .
IP-tresnak
- Sare-utilitate ezberdinen multzo moduko bat, GUI batekin dator, Windows erabiltzaileei "eskainitakoa".
Portu eskanerra, baliabide partekatuak (inprimagailu/karpeta partekatuak), WhoIs/Finger/Lookup, telnet bezeroa eta askoz gehiago. Tresna eroso, azkar eta funtzional bat besterik ez.
Ez dago beste produktu batzuk kontuan hartzeak, izan ere, alor honetan utilitate asko daude eta guztiek funtzionamendu-printzipio eta funtzionaltasun antzekoak dituzte. Hala ere, nmap izaten jarraitzen du erabiliena.
Web script-a hausteko eskanerrak
Ahultasun ezagunak aurkitzen saiatzea (SQL inj, XSS, LFI/RFI, etab.) edo akatsak (ez ezabatu aldi baterako fitxategiak, direktorioen indexatzea, etab.)
Acunetix Web ahultasun eskanerra
— estekatik hau xss eskaner bat dela ikus dezakezu, baina hori ez da guztiz egia. Doako bertsioak, hemen eskuragarri, funtzionalitate asko eskaintzen ditu. Normalean, eskaner hau lehen aldiz exekutatzen duenak eta lehen aldiz bere baliabideari buruzko txostena jasotzen duenak shock apur bat jasaten du, eta hori egiten duzunean zergatik ulertuko duzu. Webgune batean mota guztietako ahultasunak aztertzeko produktu oso indartsua da eta ohiko PHP webguneekin ez ezik, beste hizkuntza batzuetan ere funtzionatzen du (nahiz eta hizkuntza ezberdintasuna adierazle ez den). Argibideak deskribatzeak ez du zentzu berezirik, eskanerrak erabiltzailearen ekintzak "jasotzen" besterik ez baitu. Software-instalazio tipiko batean "hurrengo, hurrengo, hurrengo, prest" antzeko zerbait.
Nikto
Hau kode irekiko (GPL) web arakatzailea da. Eskuzko lana ezabatzen du. Xede-gunean ezabatu gabeko script-ak bilatzen ditu (test.php, index_.php, etab.), datu-baseen administrazio-tresnak (/phpmyadmin/, /pma eta antzekoak), etab., hau da, akats ohikoenak diren baliabidea egiaztatzen du. normalean giza faktoreek eragindakoa.
Gainera, script ezagunen bat aurkitzen badu, kaleratutako ustiapenak (datu-basean daudenak) egiaztatzen ditu.
Eskuragarri dauden "nahi ez diren" metodoen berri ematen du, hala nola PUT eta TRACE
Eta abar. Oso erosoa da auditore gisa lan egiten baduzu eta webguneak egunero aztertzen badituzu.
Eragozpenetatik, positibo faltsuen ehuneko altua nabarmendu nahi nuke. Adibidez, zure guneak beti ematen badu errore nagusia 404 errorearen ordez (noiz gertatu behar den), orduan eskanerrak esango du zure guneak bere datu-baseko script guztiak eta ahultasun guztiak dituela. Praktikan, hori ez da hain maiz gertatzen, baina, egia esan, asko zure webgunearen egituraren araberakoa da.
Erabilera klasikoa:
./nikto.pl -host localhost
Gunean baimena izan behar baduzu, cookie bat ezar dezakezu nikto.conf fitxategian, STATIC-COOKIE aldagaian.
Wikto
— Nikto Windows-erako, baina gehigarri batzuekin, esate baterako, logika “lausoa” kodea akatsak egiaztatzean, GHDB erabiltzean, estekak eta baliabideen karpetak lortzea, HTTP eskaeren/erantzunen denbora errealeko jarraipena. Wikto C#-n idatzita dago eta .NET frameworka behar du.
arrain saltsa
- web ahultasun eskanerra (lcamtuf izenez ezagutzen dena). C-n idatzia, plataforma anitzeko (Irabaziak Cygwin behar du). Errekurtsiboki (eta oso denbora luzez, 20 ~ 40 ordu inguru, niretzat azken aldia 96 ordukoa izan zen arren) gune osoa arakatzen du eta era guztietako segurtasun-zuloak aurkitzen ditu. Trafiko handia ere sortzen du (hainbat GB sarrera/irteera). Baina baliabide guztiak onak dira, batez ere denbora eta baliabideak badituzu.
Erabilera tipikoa:
./skipfish -o /home/reports www.example.com
"Txostenak" karpetan txosten bat egongo da html-n, .
w3af
— Web Aplikazioen Erasoa eta Auditoria Markoa, kode irekiko web ahultasun eskanerra. GUI bat dauka, baina kontsolatik lan egin dezakezu. Zehatzago esanda, marko bat da .
Denbora luzez hitz egin dezakezu bere abantailez, hobe da probatzea :] Berarekin lan tipikoa profil bat aukeratzea, helburu bat zehaztea eta, hain zuzen ere, abian jartzea da.
Mantra Segurtasun Esparrua
egi bihurtu den ametsa da. Web arakatzaile batean integratutako informazioaren segurtasunerako tresna libre eta doako bilduma.
Oso erabilgarria fase guztietan web aplikazioak probatzerakoan.
Erabilera arakatzailea instalatu eta abiaraztera datza.
Izan ere, kategoria honetan utilitate asko daude eta nahiko zaila da haietatik zerrenda zehatz bat hautatzea. Gehienetan, pentester bakoitzak berak zehazten du behar dituen tresna multzoa.
esplotazioa
Ahultasunak automatizatu eta erosoago ustiatzeko, ustiapenak software eta scriptetan idazten dira, segurtasun-zuloa ustiatzeko parametroak bakarrik pasatu behar zaizkielarik. Eta badaude ustiapenak eskuz bilatzeko beharra ezabatzen duten produktuak, eta baita horiek berehala aplikatu ere. Kategoria hau eztabaidatuko da orain.
Metasploit esparrua
- gure negozioan munstro moduko bat. Hainbeste egin dezake argibideek hainbat artikulu izango dituztela. Ustiapen automatikoa aztertuko dugu (nmap + metasploit). Beheko lerroa hau da: Nmap-ek behar dugun ataka aztertuko du, zerbitzua instalatuko du eta metasploit-ek zerbitzu-klasearen arabera (ftp, ssh, etab.) ustiapenak aplikatzen saiatuko da. Testu-argibideen ordez, bideo bat txertatuko dut, autopwn gaiari buruz nahiko ezaguna
Edo besterik gabe automatiza dezakegu behar dugun ustiapenaren funtzionamendua. Adib.:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Izan ere, esparru honen gaitasunak oso zabalak dira, beraz, sakontzea erabakitzen baduzu, joan
Armitage
— Metasploit-erako cyberpunk generoko GUIaren OVA. Helburua bistaratzen du, ustiapenak gomendatzen ditu eta markoaren ezaugarri aurreratuak eskaintzen ditu. Oro har, dena eder eta ikusgarria izatea gustatzen zaienentzat.
Screencast:
Tenable Nessus®
- Gauza asko egin ditzake, baina hortik behar dugun gaitasunetako bat zer zerbitzu duten ustiapenak zehaztea da. "Etxean bakarrik" produktuaren doako bertsioa
erabili:
- Deskargatu (zure sistemarako), instalatu, erregistratu (gakoa zure posta elektronikora bidaltzen da).
- Zerbitzaria abiarazi, erabiltzailea Nessus Server Manager-era gehitu (Kudeatu erabiltzaileak botoia)
- Helbidera goaz
https://localhost:8834/
eta lortu flash bezeroa arakatzailean
- Eskaneatu -> Gehitu -> bete eremuak (dagokigun eskaneatzeko profila hautatuz) eta sakatu Eskaneatu
Denbora pixka bat igaro ondoren, eskaneatu txostena Txostenak fitxan agertuko da
Ustiapenekiko zerbitzuen ahultasun praktikoa egiaztatzeko, goian deskribatutako Metasploit Framework erabil dezakezu edo ustiatu bat aurkitzen saiatu (adibidez, , , etab.) eta eskuz erabili aurka bere sistema
IMHO: handiegia. Softwarearen industriaren norabide honetako liderretako bat bezala ekarri nuen.
Injekzioen automatizazioa
Web-aplikazioko sec eskaner askok injekzioak bilatzen dituzte, baina oraindik eskaner orokorrak besterik ez dira. Eta injekzioak bilatzeko eta ustiatzeko bereziki lantzen duten utilitateak daude. Horietaz hitz egingo dugu orain.
sqlmap
— SQL injekzioak bilatzeko eta ustiatzeko kode irekiko erabilgarritasuna. Datu-base zerbitzariak onartzen ditu, hala nola: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Erabilera tipikoa lerroan sartzen da:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Eskuliburu nahikoa daude, errusieraz barne. Softwareak asko errazten du pentester baten lana arlo hau lantzean.
Bideo erakustaldi ofizial bat gehituko dut:
bsqlbf-v2
- perl script bat, Sql injekzio "itsuetarako" bortxaketa basati bat. Url-eko balio osoekin eta kate-balioekin funtzionatzen du.
Onartutako datu-basea:
- MS-SQL
- MySQL
- PostgreSQL
- Oracle
Erabilera adibidea:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Lotura parametroekin
-itsu u — injekzioaren parametroa (lehenespenez azkena helbide barratik hartzen da)
-sql "hautatu taula_izena imformation_schema.tables limit 1 offset 0 tik" — Datu-baseari gure eskaera arbitrarioa
- Datu-basea 1 — Datu-base zerbitzaria: MSSQL
- 1 mota — Eraso mota, injekzio “itsua”, Egia eta Erroreetan (adibidez, sintaxi-akatsak) erantzunetan oinarrituta.
Araztaileak
Tresna hauek garatzaileek erabiltzen dituzte batez ere kodea exekutatzearen emaitzekin arazoak dituztenean. Baina norabide hori pentesting egiteko ere baliagarria da, behar ditugun datuak joan-etorrian ordezkatu ditzakegunean, gure sarrera-parametroei erantzuten dutena aztertzen dugunean (adibidez, fuzzing-ean), etab.
Burp Suite
— Sartze probetan laguntzen duten utilitateen multzoa. Interneten dago errusieraz Raz0r-tik (2008rako bada ere).
Doako bertsioak barne hartzen ditu:
- Burp Proxy tokiko proxy bat da, nabigatzailetik dagoeneko sortutako eskaerak aldatzeko aukera ematen duena
- Burp Spider - armiarma, dauden fitxategiak eta direktorioak bilatzen ditu
- Burp Repeater - HTTP eskaerak eskuz bidaltzen ditu
- Burp Sequencer - inprimakietan ausazko balioak aztertzea
- Burp Decoder kodetzaile-deskodetzaile estandar bat da (html, base64, hex, etab.), milaka dira, edozein hizkuntzatan azkar idatz daitezkeenak.
- Burp Comparer - String Comparer osagaia
Printzipioz, pakete honek arlo honekin lotutako arazo ia guztiak konpontzen ditu.
Fiddler
— Fiddler HTTP(S) trafiko guztia erregistratzen duen arazketa proxy bat da. Trafiko hori aztertzeko, eten-puntuak ezartzeko eta sarrerako edo irteerako datuekin "jokatzeko" aukera ematen dizu.
Bat ere badago , munstroa eta beste batzuk, erabiltzailearen esku dago aukera.
Ondorioa
Jakina, pentester bakoitzak bere arsenal eta bere erabilgarritasun multzoa ditu, asko baitaude. Erosoenak eta ezagunenak zerrendatzen saiatu naiz. Baina edonork norabide honetako beste utilitate batzuekin ezagutu dezan, jarraian estekak emango ditut.
Eskaner eta utilitateen goialde/zerrenda ezberdinak
- .
Dagoeneko pentesting erabilgarritasun ugari biltzen dituzten Linux banaketak
eguneratu: "Hack4Sec" taldeko errusieraz (gehituta )
PS Ezin dugu ixildu XSpider-i buruz. Ez du parte hartzen errebisioan, shareware den arren (artikulua SecLab-era bidali nuenean jakin nuen, hain zuzen ere horregatik (ez ezagutza, eta azken 7.8 bertsioaren falta) eta ez nuen artikuluan sartu). Eta teorian, horren berrikuspena aurreikusi zen (proba zailak ditut prestatuta), baina ez dakit munduak ikusiko duen.
PPS Artikuluko material batzuk bere xederako erabiliko dira hurrengo txosten batean 2012 QA atalean, hemen aipatzen ez diren tresnak (doan, noski), baita algoritmoa ere, zer ordenatan erabili, zer emaitza espero, zer konfigurazio erabili eta mota guztietako aholku eta trikimailuak. lanean (ia egunero pentsatzen dut txostenean, gaiari buruz onena esaten saiatuko naiz)
Bide batez, artikulu honi buruzko ikasgai bat zegoen hemen Ireki InfoSec Days (, ), Can Korovarrei lapurtu begirada bat bota .
Iturria: www.habr.com