Il y a quelque temps, j'ai écrit sur , mais un peu maigre et chaotique. Ensuite, j'ai décidé d'élargir la liste des outils de la revue, de structurer l'article et de prendre en compte les critiques (merci beaucoup pour obtenir des conseils) et je l'ai envoyé à un concours sur SecLab (et publié , mais pour des raisons évidentes, personne ne l'a vue). Le concours est terminé, les résultats ont été annoncés et en toute conscience je peux le publier (l'article) sur Habré.
Outils Pentester d'applications Web gratuits
Dans cet article, je parlerai des outils les plus populaires pour le pentesting (tests de pénétration) des applications Web utilisant la stratégie de la « boîte noire ».
Pour ce faire, nous examinerons les utilitaires qui aideront à ce type de tests. Considérez les catégories de produits suivantes :
- Scanners réseau
- Scanners de violations de scripts Web
- Exploitation
- Automatisation des injections
- Débogueurs (renifleurs, proxys locaux, etc.)
Certains produits ont un « caractère » universel, je les classerai donc dans la catégorie dans laquelle ils ont unоmeilleur résultat (avis subjectif).
Scanners réseau.
La tâche principale est de découvrir les services réseau disponibles, d'installer leurs versions, de déterminer le système d'exploitation, etc.
Nmap
est un utilitaire gratuit et open source pour l'analyse du réseau et l'audit de la sécurité du système. Les adversaires violents de la console peuvent utiliser Zenmap, qui est une interface graphique pour Nmap.
Ce n'est pas seulement un scanner « intelligent », c'est un outil extensible sérieux (l'une des « fonctionnalités inhabituelles » est la présence d'un script pour vérifier un nœud pour la présence d'un ver "" (mentionné ). Exemple d'utilisation typique :
nmap -A -T4 localhost
-A pour la détection de la version du système d'exploitation, l'analyse et le traçage des scripts
-Réglage du contrôle du temps T4 (plus c'est plus rapide, de 0 à 5)
localhost - hôte cible
Quelque chose de plus dur ?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Il s'agit d'un ensemble d'options du profil « analyse complète lente » dans Zenmap. Cela prend beaucoup de temps, mais fournit finalement des informations plus détaillées qui peuvent être trouvées sur le système cible. , si vous décidez d'aller plus loin, je vous recommande également de traduire l'article .
Nmap a reçu le statut de « Produit de sécurité de l'année » de la part de magazines et de communautés telles que Linux Journal, Info World, LinuxQuestions.Org et Codetalker Digest.
Point intéressant, Nmap peut être vu dans les films « The Matrix Reloaded », « Die Hard 4 », « The Bourne Ultimatum », « Hottabych » et .
IP-Tools
- une sorte d'ensemble d'utilitaires réseau différents, livré avec une interface graphique, « dédiée » aux utilisateurs Windows.
Scanner de ports, ressources partagées (imprimantes/dossiers partagés), WhoIs/Finger/Lookup, client telnet et bien plus encore. Juste un outil pratique, rapide et fonctionnel.
Il ne sert à rien d'envisager d'autres produits, car il existe de nombreux utilitaires dans ce domaine et ils ont tous des principes de fonctionnement et des fonctionnalités similaires. Néanmoins, nmap reste le plus fréquemment utilisé.
Scanners de violations de scripts Web
Essayer de trouver des vulnérabilités populaires (SQL inj, XSS, LFI/RFI, etc.) ou des erreurs (fichiers temporaires non supprimés, indexation de répertoires, etc.)
Scanner de vulnérabilité Web Acunetix
— à partir du lien, vous pouvez voir qu'il s'agit d'un scanner XSS, mais ce n'est pas tout à fait vrai. La version gratuite, disponible ici, offre de nombreuses fonctionnalités. Habituellement, la personne qui utilise ce scanner pour la première fois et reçoit pour la première fois un rapport sur sa ressource subit un léger choc, et vous comprendrez pourquoi une fois que vous aurez fait cela. Il s'agit d'un produit très puissant pour analyser toutes sortes de vulnérabilités sur un site Web et fonctionne non seulement avec les sites Web PHP habituels, mais également dans d'autres langues (bien que la différence de langue ne soit pas un indicateur). Il n’y a aucun intérêt particulier à décrire les instructions, puisque le scanner « capte » simplement les actions de l’utilisateur. Quelque chose de similaire à « suivant, suivant, suivant, prêt » dans une installation logicielle typique.
Personne
Il s'agit d'un robot d'exploration Web Open Source (GPL). Élimine le travail manuel de routine. Recherche sur le site cible les scripts non supprimés (certains test.php, index_.php, etc.), les outils d'administration de base de données (/phpmyadmin/, /pma et autres), etc., c'est-à-dire vérifie la ressource pour les erreurs les plus courantes généralement causée par des facteurs humains.
De plus, s'il trouve un script populaire, il le vérifie pour les exploits publiés (qui se trouvent dans la base de données).
Signale les méthodes « indésirables » disponibles telles que PUT et TRACE
Et ainsi de suite. C'est très pratique si vous travaillez comme auditeur et analysez des sites Web quotidiennement.
Parmi les inconvénients, je voudrais noter le pourcentage élevé de faux positifs. Par exemple, si votre site donne toujours l'erreur principale au lieu d'une erreur 404 (quand elle devrait se produire), alors le scanner dira que votre site contient tous les scripts et toutes les vulnérabilités de sa base de données. Dans la pratique, cela n’arrive pas si souvent, mais en réalité, cela dépend beaucoup de la structure de votre site.
Utilisation classique :
./nikto.pl -host localhost
Si vous devez être autorisé sur le site, vous pouvez définir un cookie dans le fichier nikto.conf, la variable STATIC-COOKIE.
Wikto
— Nikto pour Windows, mais avec quelques ajouts, comme une logique « floue » lors de la vérification du code pour les erreurs, l'utilisation de GHDB, l'obtention de liens et de dossiers de ressources, la surveillance en temps réel des requêtes/réponses HTTP. Wikto est écrit en C# et nécessite le framework .NET.
sauterelle
- scanner de vulnérabilités Web de (connu sous le nom d'Icamtuf). Écrit en C, multiplateforme (Win nécessite Cygwin). De manière récursive (et pendant très longtemps, environ 20 à 40 heures, même si la dernière fois que cela a fonctionné pour moi était de 96 heures), il explore l'intégralité du site et trouve toutes sortes de failles de sécurité. Il génère également beaucoup de trafic (plusieurs Go entrants/sortants). Mais tous les moyens sont bons, surtout si l’on dispose du temps et des ressources.
Utilisation typique :
./skipfish -o /home/reports www.example.com
Dans le dossier « reports » il y aura un rapport en html, .
w3af
— Web Application Attack and Audit Framework, scanner de vulnérabilités Web open source. Il dispose d'une interface graphique, mais vous pouvez travailler depuis la console. Plus précisément, il s'agit d'un cadre avec .
On peut parler longtemps de ses avantages, il vaut mieux l'essayer :] Un travail typique avec cela revient à choisir un profil, à préciser un objectif et, en fait, à le lancer.
Cadre de sécurité Mantra
est un rêve devenu réalité. Une collection d'outils de sécurité des informations gratuits et ouverts intégrés à un navigateur Web.
Très utile pour tester des applications Web à toutes les étapes.
L'utilisation se résume à l'installation et au lancement du navigateur.
En fait, il existe de nombreux utilitaires dans cette catégorie et il est assez difficile d'en sélectionner une liste spécifique. Le plus souvent, chaque pentester détermine lui-même l'ensemble des outils dont il a besoin.
Exploitation
Pour une exploitation automatisée et plus pratique des vulnérabilités, les exploits sont écrits dans des logiciels et des scripts, auxquels il suffit de transmettre des paramètres afin d'exploiter la faille de sécurité. Et il existe des produits qui éliminent le besoin de rechercher manuellement les exploits, et même de les appliquer à la volée. Cette catégorie va maintenant être discutée.
Metasploit Framework
- une sorte de monstre dans notre métier. Il peut faire tellement de choses que les instructions couvriront plusieurs articles. Nous verrons l'exploitation automatique (nmap + metasploit). L'essentiel est le suivant : Nmap analysera le port dont nous avons besoin, installera le service et Metasploit tentera de lui appliquer des exploits en fonction de la classe de service (ftp, ssh, etc.). Au lieu d'instructions textuelles, j'insérerai une vidéo assez populaire sur le sujet autopwn
Ou nous pouvons simplement automatiser le fonctionnement de l’exploit dont nous avons besoin. Par exemple:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
En fait, les capacités de ce framework sont très étendues, donc si vous décidez d'aller plus loin, rendez-vous sur
Armitage
— OVA de l'interface graphique du genre cyberpunk pour Metasploit. Visualise la cible, recommande des exploits et fournit des fonctionnalités avancées du framework. En général, pour ceux qui aiment que tout soit beau et impressionnant.
Capture d'écran :
Tenable Nessus®
- peut faire beaucoup de choses, mais l'une des capacités dont nous avons besoin est de déterminer quels services ont des exploits. Version gratuite du produit « maison uniquement »
Использование:
- Téléchargé (pour votre système), installé, enregistré (la clé est envoyée à votre email).
- Démarrage du serveur, ajout de l'utilisateur à Nessus Server Manager (bouton Gérer les utilisateurs)
- Nous allons à l'adresse
https://localhost:8834/
et récupérez le client flash dans le navigateur
- Scans -> Ajouter -> remplissez les champs (en sélectionnant le profil de scan qui nous convient) et cliquez sur Scan
Après un certain temps, le rapport d'analyse apparaîtra dans l'onglet Rapports
Pour vérifier la vulnérabilité pratique des services aux exploits, vous pouvez utiliser le Framework Metasploit décrit ci-dessus ou essayer de trouver un exploit (par exemple, sur , , etc.) et utilisez-le manuellement contre son système
À mon humble avis : trop volumineux. Je l'ai amené comme l'un des leaders dans cette direction de l'industrie du logiciel.
Automatisation des injections
De nombreux scanners sec d'applications Web recherchent des injections, mais ce ne sont encore que des scanners généraux. Et il existe des utilitaires spécifiquement dédiés à la recherche et à l’exploitation des injections. Nous allons en parler maintenant.
sqlmap
— utilitaire open source pour rechercher et exploiter les injections SQL. Prend en charge les serveurs de bases de données tels que : MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
L'utilisation typique se résume à la ligne :
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Il existe suffisamment de manuels, y compris en russe. Le logiciel facilite grandement le travail d’un pentester lorsqu’il travaille sur ce domaine.
J'ajouterai une démonstration vidéo officielle :
bsqlbf-v2
— un script Perl, un forcer brutal pour les injections SQL « aveugles ». Cela fonctionne à la fois avec des valeurs entières dans l'URL et avec des valeurs de chaîne.
Base de données prise en charge :
- MS SQL
- MySQL
- PostgreSQL
- Oracle
Exemple d'utilisation:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-URL — Lien avec les paramètres
-te aveugle — paramètre d'injection (par défaut le dernier est extrait de la barre d'adresse)
-sql "sélectionner nom_table dans imformation_schema.tables limite 1 décalage 0" — notre requête arbitraire à la base de données
-base de données 1 — serveur de base de données : MSSQL
-type 1 — type d'attaque, injection « aveugle », basée sur des réponses True et Error (par exemple, des erreurs de syntaxe)
Débogueurs
Ces outils sont principalement utilisés par les développeurs lorsqu'ils rencontrent des problèmes avec les résultats de l'exécution de leur code. Mais cette direction est également utile pour le pentesting, lorsque nous pouvons remplacer les données dont nous avons besoin à la volée, analyser ce qui vient en réponse à nos paramètres d'entrée (par exemple, lors du fuzzing), etc.
Suite Burp
— un ensemble d'utilitaires qui facilitent les tests d'intrusion. C'est sur Internet en russe de Raz0r (mais pour 2008).
La version gratuite comprend :
- Burp Proxy est un proxy local qui vous permet de modifier les requêtes déjà générées depuis le navigateur
- Burp Spider - araignée, recherche les fichiers et répertoires existants
- Burp Repeater - envoi manuel de requêtes HTTP
- Burp Sequencer - analyser des valeurs aléatoires dans des formulaires
- Burp Decoder est un encodeur-décodeur standard (html, base64, hex, etc.), il en existe des milliers, qui peut être rapidement écrit dans n'importe quelle langue
- Burp Comparer - Composant de comparaison de chaînes
En principe, ce package résout presque tous les problèmes liés à ce domaine.
Violoneux
— Fiddler est un proxy de débogage qui enregistre tout le trafic HTTP(S). Vous permet d'examiner ce trafic, de définir des points d'arrêt et de « jouer » avec les données entrantes ou sortantes.
Il y a aussi , monstre et autres, le choix appartient à l'utilisateur.
Conclusion
Naturellement, chaque pentester dispose de son propre arsenal et de son propre ensemble d'utilitaires, car ils sont tout simplement nombreux. J'ai essayé d'énumérer quelques-uns des plus pratiques et des plus populaires. Mais pour que chacun puisse se familiariser avec d'autres utilitaires dans ce sens, je fournirai des liens ci-dessous.
Divers tops/listes de scanners et utilitaires
- .
Distributions Linux qui incluent déjà de nombreux utilitaires de pentesting différents
upd: en russe de l'équipe « Hack4Sec » (ajouté )
PS Nous ne pouvons pas garder le silence sur XSpider. Ne participe pas à l'examen, bien qu'il s'agisse d'un shareware (je l'ai découvert lorsque j'ai envoyé l'article à SecLab, en fait à cause de cela (pas de connaissances et manque de la dernière version 7.8) et je ne l'ai pas inclus dans l'article). Et en théorie, une révision était prévue (j'ai préparé des tests difficiles pour cela), mais je ne sais pas si le monde le verra.
PPS Certains éléments de l'article seront utilisés aux fins prévues dans un prochain rapport à 2012 dans la section QA, qui contiendra des outils non mentionnés ici (gratuits bien sûr), ainsi que l'algorithme, dans quel ordre utiliser quoi, à quel résultat s'attendre, quelles configurations utiliser et toutes sortes de trucs et astuces quand je travaille (je pense au rapport presque tous les jours, je vais essayer de vous dire le meilleur sur le sujet)
D'ailleurs, il y avait une leçon sur cet article à Journées ouvertes de sécurité de l'information (, ), pouvez voler des vaches jetez un oeil .
Source: habr.com