🥇Wapiti — проверка сайта на уязвимости своими силами

No último Artigo falamos Nemesida WAF Free - unha ferramenta gratuíta para protexer sitios web e API de ataques de piratas informáticos, e nesta decidimos revisar un popular escáner de vulnerabilidades Elk.

Сканирование сайта на уязвимости — необходимая мера, которая, вкупе с анализом исходного кода, позволяет оценить уровень его защищенности от угроз компрометации. Выполнить сканирование веб-ресурса можно с помощью специализированно инструментария.

Nikto, W3af (написан на Python 2.7, поддержка которого закончилась) или Arachni (с февраля более не поддерживается) — наиболее популярные решения, представленные в бесплатном сегменте. Разумеется, есть и другие, например, Wapiti, на котором мы решили остановимся.

Wapiti traballa cos seguintes tipos de vulnerabilidades:

expansión de ficheiros (local e remoto, fopen, readfile);
инъекции (PHP / JSP / ASP / SQL-инъекции и XPath-инъекции);
XSS (межсайтовый скриптинг) (отраженная и постоянная);
обнаружение и выполнение команд (eval (), system (), passtru () );
CRLF-инъекции (разделение ответов HTTP, фиксация сеанса);
XXE (XML внешняя сущность) внедрение;
SSRF (falsificación de solicitudes do lado do servidor);
uso de ficheiros coñecidos potencialmente perigosos (grazas á base de datos Nikto);
слабые конфигурации .htaccess, которые можно обойти;
a presenza de ficheiros de copia de seguridade que revelan información confidencial (divulgación do código fonte);
Shellshock;
открытые перенаправления;
métodos HTTP non estándar que se poden resolver (PUT).

Características:

Compatibilidade con proxy HTTP, HTTPS e SOCKS5;
аутентификация с помощью нескольких методов: Basic, Digest, Kerberos или NTLM;
возможность ограничить область сканирования (домен, папка, страница, URL-адрес);
автоматическое удаление одного из параметров в URL;
múltiples precaucións contra bucles de exploración interminables (exemplo: ifor, valores límite para un parámetro);
a capacidade de establecer unha prioridade para examinar URL (aínda que non estean na área de dixitalización);
возможность исключить некоторые URL-адреса из сканирования и атак (например: URL logout);
импорт файлов cookie (получение их с помощью инструмента wapiti-getcookie);
capacidade de activar/desactivar a verificación do certificado SSL;
возможность извлечь URL из JavaScript (очень простой JS-интерпретатор);
interacción con HTML5;
несколько вариантов управления поведением и ограничениями crawler’a;
establecer o tempo máximo para o proceso de dixitalización;
engadindo algúns encabezados HTTP personalizados ou configurando un axente de usuario personalizado.

Características adicionais:

создание отчетов об уязвимостях в различных форматах (HTML, XML, JSON, TXT);
приостановка и возобновление сканирования или атаки (механизм сеанса с использованием баз данных SQLite3);
retroiluminación no terminal para resaltar vulnerabilidades;
разные уровни логирования;
Un xeito rápido e sinxelo de activar/desactivar módulos de ataque.

Instalación

A versión actual de Wapiti pódese instalar de dous xeitos:

descarga a fonte do oficial sitio e executa o script de instalación, tendo instalado previamente Python3;
usando o comando pip3 install wapiti3.

После этого Wapiti будет готов к работе.

Работа с инструментом

Для демонстрации работы Wapiti мы будем использовать специально подготовленный стенд sites.vulns.pentestit.ru (внутренний ресурс), содержащий различные уязвимости (Injection, XSS, LFI/RFI) и прочие недостатки веб-приложений.

A información ofrécese só con fins informativos. Non incumprir a lei!

Comando básico para iniciar o escáner:

# wapiti -u <target> <options>

Ao mesmo tempo, hai unha axuda bastante detallada cunha gran cantidade de opcións de lanzamento, por exemplo:

—scope — область применения
Если вместе с URL для сканирования указать параметр scope, то можно регулировать область сканирования сайта, указав как отдельную страницу, так и все страницы, которые получится найти на сайте.

-s и -x — параметры добавления или удаления конкретных URL-адресов. Данные параметры полезны, когда необходимо добавить или удалить конкретный URL-адрес в процесса сканирования.

--saltar — escanearase o parámetro especificado con esta chave, pero non será atacado. Útil se hai parámetros perigosos que se eliminan mellor durante a dixitalización.

—verify-ssl — включение или отключение проверки сертификата.
O escáner Wapiti é modular. Non obstante, para lanzar módulos específicos, incluídos os que se conectan automaticamente mentres o escáner está en funcionamento, cómpre utilizar o interruptor -m e enumerar os que precisa, separados por comas. Se non se utiliza a chave, todos os módulos funcionarán por defecto. Na versión máis sinxela terá o seguinte aspecto:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Данный пример использования означает, что мы будем использовать только модули SQL, XSS и XXE при сканировании цели. Помимо этого, можно фильтровать работу модулей в зависимости от нужного метода. Например -m "xss: obter, blindsql: publicación, xxe: publicación". В таком случае модуль xss aplicarase ás solicitudes enviadas mediante o método GET e o módulo blibdsql - para POST solicitudes, etc. Por certo, se algún módulo incluído na lista non foi necesario durante a dixitalización ou leva moito tempo, entón premendo a combinación Ctrl+C pode saltar o módulo actual seleccionando o elemento correspondente no menú interactivo.

Wapiti поддерживает передачу запросов через прокси-сервер с помощью ключа -p и аутентификацию на целевом сайте через параметр -a. Также можно указать тип аутентификации: Basiс, Resumo, Kerberos и NTLM. Os dous últimos poden requirir a instalación de módulos adicionais. Ademais, pode inserir calquera cabeceira nas solicitudes (incluídas as arbitrarias Axente de usuario) e moito máis.

Para usar a autenticación pode usar a ferramenta wapiti-getcookie. Coa súa axuda formamos biscoito, которые Wapiti будет использовать при сканировании. Формирование biscoito feito co comando:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

В процессе работы в интерактивном режиме отвечаем на вопросы и указываем необходимую информацию типа: логин, пароль и прочее:

На выходе получаем файл в формате JSON. Другой вариант — добавить всю необходимую информацию через параметр -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Результат будет аналогичный:

Ao considerar a funcionalidade principal do escáner, a solicitude final para probar a aplicación web no noso caso foi:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

onde, entre outros parámetros:

-f и -o — формат и путь для сохранения отчета;

-m — подключение всех модулей — не рекомендуется, т.к. будет сказываться на времени тестирования и размере отчета;

--cor — подсвечивать найденные уязвимости в зависимости от их критичности по версии самого Wapiti;

-c - usando un ficheiro con biscoito, xerado usando wapiti-getcookie;

—scope - escoller un obxectivo para o ataque. Seleccionando unha opción dobrador будет сканироваться и атаковаться каждый URL, начиная с базового. Базовый URL должен иметь косую черту (без имени файла);

—flush-session — позволяет проводить повторное сканирование, при котором не будут учитываться предыдущие результаты;

-A — собственный Axente de usuario;

-p — адрес прокси-сервера, если необходим.

Немного об отчете

O resultado da dixitalización preséntase en forma de informe detallado de todas as vulnerabilidades atopadas en formato de páxina HTML, nun formulario claro e fácil de ler. O informe indicará as categorías e número de vulnerabilidades atopadas, as súas descricións, solicitudes e comandos enrolar и советы о том, как их закрыть. Для удобства навигации в названия категорий будет добавляться ссылка, кликнув по которой можно перейти к ней:

Unha desvantaxe importante do informe é a ausencia dun mapa de aplicacións web como tal, sen o cal non quedará claro se se analizaron todos os enderezos e parámetros. Tamén existe a posibilidade de falsos positivos. No noso caso, o informe inclúe "ficheiros de copia de seguranza" e "ficheiros potencialmente perigosos". O seu número non corresponde á realidade, xa que non existían estes ficheiros no servidor:

Возможно, некорректно работающие модули исправят со временем. Также недостатком отчета можно назвать отсутствие окраски найденных уязвимостей (в зависимости от их критичности), или хотя бы их разделения по категориям. Единственное, как мы можем косвенно понять о критичности найденной уязвимости — это применять параметр --cor при сканировании и тогда найденные уязвимости будут окрашиваться различными цветами:

Но в самом отчете подобная окраска не предусмотрена.

Vulnerabilidades

SQLi

Cканер частично справился с поиском SQLi. При поиске SQL-уязвимостей на страницах, где не требуется аутентификация, никаких проблем не возникает:

Не получилось найти уязвимость на страницах, доступных только после аутентификации, даже с использованием валидных biscoito, xa que o máis probable é que despois dunha autenticación exitosa, a súa sesión quedará "pechada" e biscoito станут недействительными. Если бы функция деавторизации была выполнена в виде отдельного скрипта, отвечающего за обработку этой процедуры, то можно было бы полностью исключить его через параметр -x, и тем самым предотвратить его срабатывание. В противном случае исключить его обработку не получится. Это проблема не конкретного модуля, а инструмента в целом, но из-за этого нюанса не удалось обнаружить несколько инъекций в закрытой области ресурса.

XSS

O escáner fixo fronte á tarefa dada perfectamente e atopou todas as vulnerabilidades preparadas:

LFI/RFI

Сканер нашел все заложенные уязвимости:

В целом, несмотря на ложные срабатывания и пропуски уязвимостей, Wapiti, как бесплатный инструмент, показывает довольно неплохие результаты работы. В любом случае стоит признать, что сканер довольно мощный, гибкий и многофункциональный, а главное — бесплатный, поэтому имеет право на использование, помогая администраторам и разработчикам получать базовую информацию о состоянии защищенности веб-приложения.

Оставайтесь здоровыми и защищенными!

Fonte: www.habr.com

Wapiti - comprobando un sitio para detectar vulnerabilidades por si mesmo