pentesterentzako tresna baliagarriez hitz egin. Artikulu berrian web aplikazioen segurtasuna aztertzeko tresnak aztertuko ditugu.
Gure lankidea Dagoeneko egin dut horrelako zerbait duela zazpi bat urte. Interesgarria da ikustea zein tresnak mantendu eta indartu dituzten beren posizioak, eta zeintzuk bigarren planoan geratu diren eta gaur egun gutxitan erabiltzen diren.
Kontuan izan honek Burp Suite ere barne hartzen duela, baina hari eta bere plugin erabilgarriari buruzko argitalpen bat egongo da.
Edukia:
amass
- Go tresna DNS azpidomeinuak bilatzeko eta zenbatzeko eta kanpoko sarea mapatzeko. Amass OWASP proiektu bat da, kanpoko bati Interneteko erakundeak nolakoak diren erakusteko. Amasek hainbat modutan lortzen ditu azpidomeinu-izenak; tresnak azpidomeinuen zenbaketa errekurtsiboa eta kode irekiko bilaketak erabiltzen ditu.
Interkonektatutako sare-segmentuak eta sistema autonomoaren zenbakiak ezagutzeko, Amassek funtzionamenduan lortutako IP helbideak erabiltzen ditu. Aurkitutako informazio guztia sareko mapa bat eraikitzeko erabiltzen da.
Pros:
- Informazioa biltzeko teknikak honako hauek dira:
* DNS - azpidomeinuen hiztegi bilaketa, indar bruteen azpidomeinuak, bilaketa adimenduna aurkitutako azpidomeinuetan oinarritutako mutazioak erabiliz, alderantzizko DNS kontsultak eta DNS zerbitzarien bilaketa, non zona transferentzia eskaera (AXFR) egiteko posible den;* Kode irekiko bilaketa - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Bilatu TLS ziurtagirien datu-baseak - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Bilatzaileen APIak erabiliz - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Bilatu Interneteko web artxiboetan: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Integrazioa Maltegorekin;
- DNS azpidomeinuak bilatzeko zereginaren estaldurarik osatuena eskaintzen du.
Cons:
- Kontuz amass.netdomains-ekin: identifikatutako azpiegiturako IP helbide guztiekin harremanetan jartzen saiatuko da eta alderantzizko DNS bilaketetatik eta TLS ziurtagirietatik domeinu-izenak lortzen saiatuko da. "Ospe handiko" teknika da hau, ikertzen ari den erakundean zure adimen-jarduerak agerian utzi ditzake.
- Memoria-kontsumo handia, 2 GB RAM kontsumitu ditzake ezarpen desberdinetan, eta horrek ez dizu tresna hau hodeian exekutatu VDS merke batean.
Altdns
β DNS azpidomeinuak zenbatzeko hiztegiak biltzeko Python tresna. Mutazio eta permutazioen bidez azpidomeinuen aldaera asko sortzeko aukera ematen du. Horretarako, azpidomeinuetan sarritan aurkitzen diren hitzak erabiltzen dira (adibidez: test, dev, staging), mutazio eta permutazio guztiak dagoeneko ezagutzen diren azpidomeinuetan aplikatzen dira, Altdns sarrerara bidali daitezkeenak. Irteera egon daitezkeen azpidomeinuen aldaketen zerrenda da, eta zerrenda hori geroago DNS indar gordinarako erabil daiteke.
Pros:
- Ondo funtzionatzen du datu multzo handiekin.
aquatone
- lehenago azpidomeinuak bilatzeko beste tresna bat bezala ezagutzen zen, baina egileak berak bertan behera utzi zuen aipatutako Amasaren alde. Orain aquatone Go-n berridatzi da eta webguneetan aurretiazko ezagutzara zuzenduta dago. Horretarako, aquatone zehaztutako domeinuetatik igarotzen da eta webguneak portu ezberdinetan bilatzen ditu, ondoren guneari buruzko informazio guztia bildu eta pantaila-argazkia egiten du. Erosoa webguneen aurretiazko azterketa azkar egiteko, ondoren erasoetarako lehentasunezko helburuak hauta ditzakezu.
Pros:
- Irteerak fitxategi eta karpeta talde bat sortzen du, beste tresna batzuekin gehiago lantzerakoan erabiltzeko erosoak direnak:
* HTML txostena bildutako pantaila-argazkiekin eta erantzunen izenburuekin antzekotasunaren arabera taldekatuta;* Webguneak aurkitu diren URL guztiekin fitxategi bat;
* Fitxategia estatistikak eta orrialdeko datuekin;
* Aurkitutako helburuetako erantzunen goiburuak dituzten fitxategiekin karpeta bat;
* Aurkitutako helburuen erantzunaren gorputza duten fitxategiekin karpeta bat;
* Aurkitutako webguneen pantaila-argazkiak;
- Nmap eta Masscan-en XML txostenekin lan egitea onartzen du;
- Bururik gabeko Chrome/Chromium erabiltzen du pantaila-argazkiak errendatzeko.
Cons:
- Intrusioak detektatzeko sistemen arreta erakar dezake, beraz, konfigurazioa behar du.
Pantaila-argazkia aquatone-ren (v0.5.0) bertsio zaharretarako egin zen, eta bertan DNS azpidomeinuaren bilaketa ezarri zen. Bertsio zaharragoak helbidean aurki daitezke .
MassDNS
DNS azpidomeinuak aurkitzeko beste tresna bat da. Bere desberdintasun nagusia da DNS kontsultak zuzenean egiten dizkiela DNS ebatzaile ezberdin askori eta abiadura handian egiten dituela.
Pros:
- Azkar - segundoko 350 mila izen baino gehiago ebazteko gai da.
Cons:
- MassDNS-k karga handia sor dezake erabiltzen ari diren DNS konpontzaileetan, eta horrek zerbitzari horien debekuak edo zure ISPra kexak eragin ditzake. Horrez gain, karga handia jarriko du konpainiaren DNS zerbitzarietan, baldin badute eta ebazten saiatzen ari zaren domeinuen arduradunak badira.
- Momentu honetan ebatzaileen zerrenda zaharkituta dago, baina hautsitako DNS ebazleak hautatzen badituzu eta ezagun berriak gehitzen badituzu, dena ondo egongo da.
Aquatone v0.5.0-ren pantaila-argazkia
nsec3map
DNSSEC babestutako domeinuen zerrenda osoa lortzeko Python tresna da.
Pros:
- DNS guneetako ostalariak azkar deskubritzen ditu gutxieneko kontsulta kopuru batekin eremuan DNSSEC euskarria gaituta badago;
- John the Ripper-erako plugin bat dakar, ondorioz NSEC3 hash-ak crack egiteko erabil daitekeena.
Cons:
- DNS akats asko ez dira behar bezala kudeatzen;
- Ez dago NSEC erregistroak prozesatzeko paralelizazio automatikorik - izen-espazioa eskuz banatu behar duzu;
- Memoria-kontsumo handia.
Acunetix
β web ahultasun eskaner bat, web aplikazioen segurtasuna egiaztatzeko prozesua automatizatzen duena. SQL injekzioak, XSS, XXE, SSRF eta beste hainbat web ahultasunetarako aplikazioa probatzen du. Hala eta guztiz ere, beste edozein eskaner bezala, web ahultasun ugarik ez du pentester bat ordezkatzen, ezin baitu ahultasun edo ahultasun kate konplexuak aurkitu logikan. Baina ahultasun asko estaltzen ditu, hainbat CVE barne, pentesterrak ahaztuta izan ditzakeena, beraz, oso erosoa da zu errutinazko egiaztapenetatik libratzeko.
Pros:
- Positibo faltsuen maila baxua;
- Emaitzak txosten gisa esporta daitezke;
- Hainbat ahultasunen egiaztapen ugari egiten ditu;
- Hainbat ostalariren eskaneatzea paraleloan.
Cons:
- Ez dago desduplicazio-algoritmorik (Acunetixek funtzionalitatez berdinak diren orrialdeak ezberdintzat hartuko ditu, URL ezberdinetara eramaten baitute), baina garatzaileak lanean ari dira;
- Aparteko web zerbitzari batean instalatzea eskatzen du, eta horrek zaildu egiten du bezero-sistemak probatzea VPN konexioarekin eta eskanerra erabiltzea tokiko bezero-sareko segmentu isolatu batean;
- Aztergai dugun zerbitzuak zarata egin dezake, adibidez, guneko kontaktu formulariora eraso-bektore gehiegi bidaliz, eta, ondorioz, negozio-prozesuak asko zailduz;
- Jabedun eta, ondorioz, ez doako irtenbidea da.
Dirsearch
β Webguneetako direktorio eta fitxategiak bortxatzeko Python tresna.
Pros:
- Benetako "200 OK" orriak bereizten ditu "200 OK" orrialdeetatik, baina "orria ez da aurkitu" testuarekin;
- Tamaina eta bilaketa eraginkortasunaren arteko oreka ona duen hiztegi erabilgarri batekin dator. CMS eta teknologia pila askorentzat komunak diren bide estandarrak ditu;
- Hiztegi formatu propioa, fitxategiak eta direktorioak zenbatzerakoan eraginkortasun eta malgutasun ona lortzeko aukera ematen duena;
- Irteera erosoa - testu arrunta, JSON;
- Mugimendua egin dezake - eskaeren arteko etenaldia, ezinbestekoa den edozein zerbitzu ahulentzat.
Cons:
- Luzapenak kate gisa pasatu behar dira, eta hori deserosoa da luzapen asko aldi berean pasatu behar badituzu;
- Zure hiztegia erabiltzeko, apur bat aldatu beharko da Dirsearch hiztegi formatura eraginkortasun handiena lortzeko.
wfuzz
- Python web aplikazioa fuzzer. Ziurrenik web phaser ospetsuenetako bat. Printzipioa sinplea da: wfuzz-ek HTTP eskaera batean edozein lekutan faseka aldatzeko aukera ematen du, eta horri esker, GET/POST parametroak, HTTP goiburuak, Cookie eta beste autentifikazio-goiburu batzuk barne. Aldi berean, direktorio eta fitxategien indar brute soiletarako ere komenigarria da, horretarako hiztegi on bat behar duzu. Gainera, iragazki-sistema malgu bat dauka, eta horrekin web-orritik erantzunak parametro ezberdinen arabera iragazi ditzakezu, eta horri esker emaitza eraginkorrak lortuko dituzu.
Pros:
- Funtzio anitzeko - egitura modularra, muntaiak minutu batzuk behar ditu;
- Iragazte eta fuzzing mekanismo erosoa;
- Edozein HTTP metodo fasetan egin dezakezu, baita HTTP eskaera bateko edozein lekutan ere.
Cons:
- Garapenean.
ffuff
- Go-n web fuzzer bat, wfuzz-en "irudi eta antzera" sortua, fitxategiak, direktorioak, URL bideak, izenak eta balioak GET/POST parametroen, HTTP goiburuak, indar gordinaren Ostalariaren goiburua barne. ostalari birtualenak. wfuzz bere anaiarengandik bereizten da abiadura handiagoan eta ezaugarri berri batzuetan, adibidez, Dirsearch formatuko hiztegiak onartzen ditu.
Pros:
- Iragazkiak wfuzz iragazkien antzekoak dira, indar gordina malgutasunez konfiguratzeko aukera ematen dute;
- HTTP goiburuko balioak, POST eskaeraren datuak eta URLaren hainbat atal nahasteko aukera ematen du, GET parametroen izenak eta balioak barne;
- Edozein HTTP metodo zehaztu dezakezu.
Cons:
- Garapenean.
gobuster
- Errekonozimendurako Go tresna, bi funtzionamendu modu ditu. Lehenengoa indar gordinaren fitxategiak eta webgune bateko direktorioetarako erabiltzen da, bigarrena indar gordina DNS azpidomeinuetarako erabiltzen da. Tresnak hasieran ez du onartzen fitxategien eta direktorioen zenbaketa errekurtsiboa, eta horrek, noski, denbora aurrezten du, baina, bestalde, webguneko amaierako puntu berri bakoitzaren indar gordina bereizita abiarazi behar da.
Pros:
- Eragiketa-abiadura handia bai DNS azpidomeinuen indar gordinaren bilaketarako, bai fitxategi eta direktorioen indar gordinarako.
Cons:
- Uneko bertsioak ez du onartzen HTTP goiburuak ezartzea;
- Lehenespenez, HTTP egoera-kode batzuk (200,204,301,302,307) baino ez dira baliozkotzat hartzen.
Arjun
- GET/POST parametroetan ezkutuko HTTP parametroen indar gordinarako tresna bat, baita JSONean ere. Hiztegi integratuak 25 hitz ditu, eta Ajrunek ia 980 segundotan egiaztatzen ditu. Trikimailua da Ajrunek ez duela parametro bakoitza bereizita egiaztatzen, baina ~ 30 parametro aldi berean egiaztatzen ditu eta erantzuna aldatu den ikusten du. Erantzuna aldatu bada, 1000 parametro hauek bi zatitan banatzen ditu eta zati horietako zeinek erantzunari eragiten dion egiaztatzen du. Horrela, bilaketa bitar soil bat erabiliz, erantzunean eragina izan duten eta, beraz, egon daitezkeen parametro bat edo ezkutuko hainbat parametro aurkitzen dira.
Pros:
- Abiadura handia bilaketa bitarra dela eta;
- GET/POST parametroetarako laguntza, baita JSON formako parametroak ere;
Burp Suite-rako pluginak antzeko printzipio batean funtzionatzen du - , eta hori ere oso ona da ezkutuko HTTP parametroak aurkitzeko. Honi buruz gehiago esango dizugu Burp eta bere pluginei buruzko hurrengo artikulu batean.
LinkFinder
β JavaScript fitxategietan estekak bilatzeko Python script bat. Web aplikazio batean ezkutuko edo ahaztutako amaierako puntuak/URLak aurkitzeko erabilgarria.
Pros:
- Azkar;
- LinkFinder-en oinarritutako Chromerako plugin berezi bat dago.
.
Cons:
- Azken ondorio deserosoa;
- Ez du JavaScript denboran zehar aztertzen;
- Nahiko logika sinplea estekak bilatzeko - JavaScript nolabait lausotuta badago, edo estekak hasieran falta badira eta dinamikoki sortzen badira, orduan ezin izango du ezer aurkitu.
JSParser
erabiltzen duen Python script bat da ΠΈ JavaScript fitxategietatik URL erlatiboak analizatzeko. Oso erabilgarria AJAX eskaerak detektatzeko eta aplikazioak elkarreragiten duen API metodoen zerrenda osatzeko. LinkFinder-ekin batera modu eraginkorrean funtzionatzen du.
Pros:
- JavaScript fitxategien analisi azkarra.
sqlmap
ziurrenik web aplikazioak aztertzeko tresna ospetsuenetako bat da. Sqlmap-ek SQL injekzioen bilaketa eta funtzionamendua automatizatzen du, hainbat SQL dialektorekin lan egiten du eta teknika ezberdin ugari ditu bere armategian, komatxo zuzenetatik hasi eta denboran oinarritutako SQL injekzioak egiteko bektore konplexuetaraino. Horrez gain, hainbat DBMS gehiago ustiatzeko teknika ugari ditu, beraz, erabilgarria da ez bakarrik SQL injekzioen eskaner gisa, baita dagoeneko aurkitutako SQL injekzioak ustiatzeko tresna indartsu gisa ere.
Pros:
- Teknika eta bektore ezberdin ugari;
- Positibo faltsuen kopuru txikia;
- Sintonizazio aukera asko, hainbat teknika, helburuko datu-basea, WAF saihesteko manipulazio-gidoiak;
- Irteerako iraulketa sortzeko gaitasuna;
- Hainbat gaitasun operatibo, adibidez, datu-base batzuetarako - fitxategien karga/deskarga automatikoa, komandoak exekutatzeko gaitasuna (RCE) eta beste batzuk lortzea;
- Eraso batean lortutako datuak erabiliz datu-basera zuzeneko konexiorako laguntza;
- Testu-fitxategi bat bidali dezakezu Burp-en emaitzekin sarrera gisa - ez dago komando-lerroko atributu guztiak eskuz konposatu beharrik.
Cons:
- Zaila da pertsonalizatzea, adibidez, zure txeke batzuk idaztea horretarako dokumentazio eskasa dela eta;
- Ezarpen egokirik gabe, egiaztapen multzo osatugabea egiten du, eta hori engainagarria izan daiteke.
NoSQLMap
β NoSQL injekzioen bilaketa eta ustiapena automatizatzeko Python tresna. Erosoa da NoSQL datu-baseetan ez ezik, zuzenean NoSQL erabiltzen duten web aplikazioak ikuskatzean ere.
Pros:
- Sqlmap-ek bezala, ahultasun potentziala aurkitzen ez ezik, MongoDB eta CouchDBrako ustiatzeko aukera ere egiaztatzen du.
Cons:
- Ez du NoSQL onartzen Redis, Cassandra, garapen bidean dago norabide honetan.
oxml_xxe
β XXE XML ustiapenak XML formatua nolabait erabiltzen duten hainbat fitxategi motatan txertatzeko tresna.
Pros:
- Ohiko formatu asko onartzen ditu, hala nola DOCX, ODT, SVG, XML.
Cons:
- PDF, JPEG, GIF laguntza ez dago guztiz inplementatu;
- Fitxategi bakarra sortzen du. Arazo hau konpontzeko tresna erabil dezakezu , karga-fitxategi ugari sor ditzake leku desberdinetan.
Goiko utilitateek lan bikaina egiten dute XXE probatzen XMLa duten dokumentuak kargatzean. Baina gogoratu, halaber, XML formatuaren kudeatzaileak beste kasu askotan aurki daitezkeela, adibidez, XML datu-formatu gisa erabil daiteke JSON-ren ordez.
Hori dela eta, hurrengo biltegiari arreta jartzea gomendatzen dugu, zeinak karga ezberdin ugari dituena: .
tplmap
- Server-Side Template Injection ahuleziak automatikoki identifikatu eta ustiatzeko Python tresna; sqlmap-en antzeko ezarpenak eta banderak ditu. Hainbat teknika eta bektore erabiltzen ditu, injekzio itsua barne, eta kodea exekutatzeko eta fitxategi arbitrarioak kargatzeko/kargatzeko teknikak ere baditu. Horrez gain, bere armategian dozena bat txantiloi-motor ezberdinetarako teknikak ditu eta eval() moduko kode-injekzioak Python, Ruby, PHP, JavaScript-en bilatzeko teknika batzuk. Arrakasta izanez gero, kontsola interaktibo bat irekiko du.
Pros:
- Teknika eta bektore ezberdin ugari;
- Txantiloiak errendatzeko motor asko onartzen ditu;
- Eragiketa teknika asko.
CeWL
- Ruby-ko hiztegi-sorgailu batek, webgune zehatz batetik hitz bereziak ateratzeko sortua, webguneko estekak jarraitzen ditu sakonera zehatz batera. Hitz esklusiboen hiztegi konpilatua gero erabil daiteke webgune bereko zerbitzuen edo indar gordinaren fitxategi eta direktorioetan indar gordinaren pasahitzak egiteko, edo sortzen diren hashak hashcat edo John the Ripper erabiliz erasotzeko. Baliagarria pasahitz potentzialen "helburu" zerrenda bat osatzerakoan.
Pros:
- Erabiltzeko erraza.
Cons:
- Kontuz ibili behar duzu bilaketa-sakonerarekin, domeinu gehigarririk ez harrapatzeko.
Pasa ahula
- pasahitz bakarrak dituzten hiztegi asko dituen zerbitzua. Oso erabilgarria da pasahitzak cracking-arekin lotutako hainbat zereginetarako, helburu-zerbitzuetako lineako kontuen indar gordina soiletik hasita, jasotako hash-en lineaz kanpoko indar gordinarekin. edo . 8 eta 4 karaktere bitarteko 25 milioi pasahitz inguru ditu.
Pros:
- Hiztegi zehatzak eta pasahitz ohikoenak dituzten hiztegiak ditu - zure beharretarako hiztegi zehatz bat aukeratu dezakezu;
- Hiztegiak eguneratu eta pasahitz berriekin betetzen dira;
- Hiztegiak eraginkortasunaren arabera ordenatzen dira. Lineako indar gordina azkarraren eta pasahitzen aukeraketa zehatzaren aukera hauta dezakezu hiztegi handi bateko azken filtrazioekin;
- Zure ekipoan pasahitz gordinak lortzeko behar den denbora erakusten duen kalkulagailu bat dago.
CMS egiaztapenetarako tresnak talde bereizi batean sartu nahi ditugu: WPScan, JoomScan eta AEM hacker.
AEM_hacker
Adobe Experience Manager (AEM) aplikazioetako ahuleziak identifikatzeko tresna da.
Pros:
- AEM aplikazioak identifikatu ditzake bere sarrerara bidalitako URLen zerrendatik;
- JSP shell bat kargatuz edo SSRF ustiatuz RCE lortzeko scriptak ditu.
JoomScan
β Joomla CMS zabaltzean ahultasunen detekzioa automatizatzeko Perl tresna.
Pros:
- Administrazio-ezarpenekin konfigurazio-akatsak eta arazoak aurkitzeko gai;
- Joomla bertsioak eta lotutako ahuleziak zerrendatzen ditu, osagai indibidualentzat antzera;
- Joomla osagaietarako 1000 ustiapen baino gehiago ditu;
- Azken txostenen irteera testu eta HTML formatuetan.
WPScan
- WordPress guneak eskaneatzeko tresna, bere armategian ahuleziak ditu bai WordPress motorrarentzat eta baita plugin batzuentzat ere.
Pros:
- WordPress plugin eta gai seguruak ez ezik, erabiltzaileen eta TimThumb fitxategien zerrenda lortzeko gai da;
- Indar gordineko erasoak egin ditzake WordPress guneetan.
Cons:
- Ezarpen egokirik gabe, egiaztapen multzo osatugabea egiten du, eta hori engainagarria izan daiteke.
Oro har, hainbatek lanerako tresna desberdinak nahiago dituzte: denak dira onak bere erara, eta pertsona bati gustatzen zaiona agian ez zaio batere egokitu beste bati. Erabilgarritasun on bat bidegabe baztertu dugula uste baduzu, idatzi horri buruz iruzkinetan!
Iturria: www.habr.com