Beberapa waktu lalu saya menulis tentang , tapi sedikit sedikit dan kacau. Setelah itu, saya memutuskan untuk memperluas daftar alat dalam ulasan, menambahkan struktur pada artikel, dan mempertimbangkan kritik (terima kasih banyak untuk saran) dan mengirimkannya ke kompetisi di SecLab (dan diterbitkan , tapi untuk semua alasan yang jelas tidak ada yang melihatnya). Kompetisi telah usai, hasilnya telah diumumkan dan dengan hati nurani yang bersih saya dapat mempublikasikannya (artikel) di Habré.
Alat Pentester Aplikasi Web Gratis
Pada artikel ini saya akan berbicara tentang alat paling populer untuk pentesting (tes penetrasi) aplikasi web menggunakan strategi “kotak hitam”.
Untuk melakukan ini, kita akan melihat utilitas yang akan membantu jenis pengujian ini. Pertimbangkan kategori produk berikut:
- Pemindai jaringan
- Pemindai pelanggaran skrip web
- Eksploitasi
- Otomatisasi injeksi
- Debugger (sniffer, proxy lokal, dll.)
Beberapa produk memiliki “karakter” universal, jadi saya akan mengklasifikasikannya ke dalam kategori yang mana produk tersebut memiliki aоhasil yang lebih baik (pendapat subjektif).
Pemindai jaringan.
Tugas utamanya adalah menemukan layanan jaringan yang tersedia, menginstal versinya, menentukan OS, dll.
Nmap
adalah utilitas sumber terbuka dan gratis untuk analisis jaringan dan audit keamanan sistem. Penentang konsol yang kejam dapat menggunakan Zenmap, yang merupakan GUI untuk Nmap.
Ini bukan hanya pemindai "pintar", ini adalah alat serius yang dapat dikembangkan (salah satu "fitur yang tidak biasa" adalah adanya skrip untuk memeriksa keberadaan worm di sebuah node "" (disebutkan ). Contoh penggunaan umum:
nmap -A -T4 localhost
-A untuk deteksi versi OS, pemindaian dan penelusuran skrip
-Pengaturan kontrol waktu T4 (lebih banyak lebih cepat, dari 0 hingga 5)
localhost - tuan rumah sasaran
Sesuatu yang lebih sulit?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Ini adalah serangkaian opsi dari profil "pemindaian komprehensif lambat" di Zenmap. Dibutuhkan waktu yang cukup lama untuk menyelesaikannya, namun pada akhirnya memberikan informasi lebih detail yang bisa diketahui tentang sistem target. , jika Anda memutuskan untuk mendalami lebih dalam, saya juga menyarankan untuk menerjemahkan artikel tersebut .
Nmap telah dianugerahi status "Produk Keamanan Terbaik Tahun Ini" oleh berbagai majalah dan organisasi seperti... Linux Jurnal, Dunia Informasi, LinuxQuestions.Org dan Codetalker Digest.
Menariknya, Nmap bisa dilihat di film “The Matrix Reloaded”, “Die Hard 4”, “The Bourne Ultimatum”, “Hottabych” dan .
IP-Tools
- sejenis kumpulan utilitas jaringan yang berbeda, dilengkapi dengan GUI, "didedikasikan" untuk pengguna Windows.
Pemindai port, sumber daya bersama (printer/folder bersama), WhoIs/Finger/Lookup, klien telnet dan banyak lagi. Hanya alat yang nyaman, cepat, dan fungsional.
Tidak ada gunanya mempertimbangkan produk lain, karena ada banyak utilitas di area ini dan semuanya memiliki prinsip pengoperasian dan fungsi yang serupa. Meski begitu, nmap tetap menjadi yang paling sering digunakan.
Pemindai pelanggaran skrip web
Mencoba menemukan kerentanan populer (SQL inj, XSS, LFI/RFI, dll.) atau kesalahan (tidak menghapus file sementara, pengindeksan direktori, dll.)
Pemindai Kerentanan Web Acunetix
— dari tautan Anda dapat melihat bahwa ini adalah pemindai xss, tetapi ini tidak sepenuhnya benar. Versi gratisnya, tersedia di sini, menyediakan cukup banyak fungsi. Biasanya, orang yang menjalankan pemindai ini untuk pertama kalinya dan menerima laporan tentang sumber dayanya untuk pertama kalinya mengalami sedikit kejutan, dan Anda akan memahami alasannya setelah Anda melakukan ini. Ini adalah produk yang sangat kuat untuk menganalisis semua jenis kerentanan di situs web dan bekerja tidak hanya dengan situs web PHP biasa, tetapi juga dalam bahasa lain (walaupun perbedaan bahasa bukan merupakan indikator). Tidak ada gunanya menjelaskan instruksi secara khusus, karena pemindai hanya “menangkap” tindakan pengguna. Sesuatu yang mirip dengan “berikutnya, selanjutnya, berikutnya, siap” dalam instalasi perangkat lunak pada umumnya.
Tidak ada
Ini adalah perayap web Sumber Terbuka (GPL). Menghilangkan pekerjaan manual rutin. Mencari situs target untuk skrip yang tidak terhapuskan (beberapa test.php, index_.php, dll.), alat administrasi basis data (/phpmyadmin/, /pma dan sejenisnya), dll., yaitu memeriksa sumber daya untuk kesalahan paling umum biasanya disebabkan oleh faktor manusia.
Ditambah lagi, jika ia menemukan skrip populer, ia akan memeriksa apakah ada eksploitasi yang dirilis (yang ada di database).
Melaporkan tersedia metode "yang tidak diinginkan" seperti PUT dan TRACE
Dan seterusnya. Sangat nyaman jika Anda bekerja sebagai auditor dan menganalisis situs web setiap hari.
Dari kekurangannya, saya ingin mencatat tingginya persentase positif palsu. Misalnya, jika situs Anda selalu menampilkan kesalahan utama alih-alih kesalahan 404 (padahal seharusnya terjadi), pemindai akan mengatakan bahwa situs Anda berisi semua skrip dan semua kerentanan dari databasenya. Dalam praktiknya, hal ini tidak sering terjadi, tetapi kenyataannya, banyak hal bergantung pada struktur situs Anda.
Penggunaan klasik:
./nikto.pl -host localhost
Jika Anda perlu diotorisasi di situs, Anda dapat mengatur cookie di file nikto.conf, variabel STATIC-COOKIE.
Wikto
- Nikto di bawah WindowsNamun dengan beberapa tambahan, seperti logika fuzzy untuk pengecekan kesalahan, penggunaan GHDB, pengambilan tautan dan folder sumber daya, dan pemantauan permintaan/respons HTTP secara real-time. Wikto ditulis dalam C# dan membutuhkan kerangka kerja .NET.
ikan cakalang
- pemindai kerentanan web dari (dikenal sebagai lcamtuf). Ditulis dalam C, lintas platform (Win membutuhkan Cygwin). Secara rekursif (dan untuk waktu yang sangat lama, sekitar 20~40 jam, meskipun terakhir kali berhasil bagi saya adalah 96 jam) ia merayapi seluruh situs dan menemukan segala macam lubang keamanan. Ini juga menghasilkan banyak lalu lintas (beberapa GB masuk/keluar). Namun segala cara itu baik, terutama jika Anda punya waktu dan sumber daya.
Penggunaan Khas:
./skipfish -o /home/reports www.example.com
Di folder “laporan” akan ada laporan dalam bentuk html, .
w3af 
— Serangan Aplikasi Web dan Kerangka Audit, pemindai kerentanan web sumber terbuka. Ini memiliki GUI, tetapi Anda dapat bekerja dari konsol. Lebih tepatnya, ini adalah kerangka dengan .
Saya bisa terus bercerita tentang manfaatnya, tetapi lebih baik Anda mencobanya sendiri :]
Cara kerja tipikalnya adalah dengan memilih profil, menentukan target, dan, benar-benar, menjalankannya.
Kerangka Keamanan Mantra
adalah mimpi yang menjadi kenyataan. Kumpulan alat keamanan informasi gratis dan terbuka yang terpasang di browser web.
Sangat berguna saat menguji aplikasi web di semua tahap.
Penggunaannya dikurangi menjadi instalasi dan peluncuran browser.
Faktanya, ada banyak utilitas dalam kategori ini dan cukup sulit untuk memilih daftar tertentu darinya. Paling sering, setiap pentester sendiri yang menentukan seperangkat alat yang dia butuhkan.
Eksploitasi
Untuk eksploitasi kerentanan yang otomatis dan lebih nyaman, eksploitasi ditulis dalam perangkat lunak dan skrip, yang hanya perlu melewati parameter untuk mengeksploitasi lubang keamanan. Dan ada produk yang menghilangkan kebutuhan untuk mencari eksploitasi secara manual, dan bahkan menerapkannya dengan cepat. Kategori ini sekarang akan dibahas.
Kerangka Metasploit 
- semacam monster dalam bisnis kita. Dia dapat melakukan begitu banyak hal sehingga instruksinya akan mencakup beberapa artikel. Kami akan melihat eksploitasi otomatis (nmap + metasploit). Intinya adalah ini: Nmap akan menganalisis port yang kita butuhkan, menginstal layanan, dan metasploit akan mencoba menerapkan eksploitasi berdasarkan kelas layanan (ftp, ssh, dll.). Alih-alih instruksi teks, saya akan menyisipkan video yang cukup populer dengan topik autopwn
Atau kita cukup mengotomatiskan pengoperasian eksploitasi yang kita perlukan. Misalnya:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Faktanya, kemampuan framework ini sangat luas, jadi jika Anda memutuskan untuk mendalami lebih dalam, kunjungi
Armitage
— OVA GUI bergenre cyberpunk untuk Metasploit. Memvisualisasikan target, merekomendasikan eksploitasi dan menyediakan fitur-fitur lanjutan dari kerangka kerja. Pada umumnya bagi mereka yang menyukai segala sesuatu agar tampil cantik dan berkesan.
Siaran Layar:
Nessus® yang dapat dipertahankan
- dapat melakukan banyak hal, namun salah satu kemampuan yang kita perlukan adalah menentukan layanan mana yang memiliki eksploitasi. Versi gratis dari produk “hanya di rumah”
Использование:
- Diunduh (untuk sistem Anda), diinstal, didaftarkan (kunci dikirim ke email Anda).
- Memulai server, menambahkan pengguna ke Nessus Server Manager (tombol Kelola pengguna)
- Kami pergi ke alamatnya
https://localhost:8834/
dan dapatkan klien flash di browser
- Pemindaian -> Tambah -> isi kolom (dengan memilih profil pemindaian yang sesuai dengan kita) dan klik Pindai
Setelah beberapa waktu, laporan pemindaian akan muncul di tab Laporan
Untuk memeriksa kerentanan praktis layanan terhadap eksploitasi, Anda dapat menggunakan Kerangka Metasploit yang dijelaskan di atas atau mencoba menemukan eksploitasi (misalnya, pada , , dll.) dan menggunakannya secara manual sistemnya
IMHO: terlalu besar. Saya menjadikannya sebagai salah satu pemimpin dalam arah industri perangkat lunak ini.
Otomatisasi injeksi
Banyak pemindai detik aplikasi web mencari suntikan, namun tetap saja pemindai umum. Dan ada utilitas yang secara khusus menangani pencarian dan eksploitasi suntikan. Kami akan membicarakannya sekarang.
sqlmap
— utilitas sumber terbuka untuk mencari dan mengeksploitasi injeksi SQL. Mendukung server database seperti: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Penggunaan umum bermuara pada baris:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Ada cukup banyak manual, termasuk dalam bahasa Rusia. Software ini sangat memudahkan pekerjaan seorang pentester ketika mengerjakan area ini.
Saya akan menambahkan demonstrasi video resmi:
bsqlbf-v2
— skrip Perl, sebuah brute force untuk injeksi Sql “buta”. Ia berfungsi baik dengan nilai integer di url dan dengan nilai string.
Basis data yang didukung:
- MS-SQL
- MySQL
- PostgreSQL
- Peramal
Contoh penggunaan:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Tautan dengan parameter
-buta kamu — parameter untuk injeksi (secara default, yang terakhir diambil dari bilah alamat)
-sql "pilih nama_tabel dari imformation_schema.tabel batas 1 offset 0" — permintaan sewenang-wenang kami ke database
-basis data 1 — server basis data: MSSQL
-tipe 1 — jenis serangan, injeksi “buta”, berdasarkan respons Benar dan Kesalahan (misalnya, kesalahan sintaksis).
Debugger
Alat-alat ini terutama digunakan oleh pengembang ketika mereka memiliki masalah dengan hasil eksekusi kode mereka. Namun arah ini juga berguna untuk pentesting, ketika kita dapat mengganti data yang kita perlukan dengan cepat, menganalisis apa yang muncul sebagai respons terhadap parameter masukan kita (misalnya, selama fuzzing), dll.
Suite Bersendawa
— seperangkat utilitas yang membantu tes penetrasi. Itu ada di Internet dalam bahasa Rusia dari Raz0r (meskipun untuk tahun 2008).
Versi gratisnya meliputi:
- Burp Proxy adalah proxy lokal yang memungkinkan Anda mengubah permintaan yang sudah dibuat dari browser
- Burp Spider - laba-laba, mencari file dan direktori yang ada
- Burp Repeater - mengirim permintaan HTTP secara manual
- Burp Sequencer - menganalisis nilai acak dalam bentuk
- Burp Decoder adalah encoder-decoder standar (html, base64, hex, dll.), yang jumlahnya ribuan, yang dapat dengan cepat ditulis dalam bahasa apa pun
- Burp Comparer - Komponen Perbandingan String
Pada prinsipnya, paket ini menyelesaikan hampir semua masalah yang berkaitan dengan bidang ini.
Pemain biola
— Fiddler adalah proksi debugging yang mencatat semua lalu lintas HTTP(S). Memungkinkan Anda memeriksa lalu lintas ini, mengatur titik henti sementara, dan "bermain" dengan data masuk atau keluar.
Ada juga , raksasa dan lain-lain, pilihan ada di tangan pengguna.
Kesimpulan
Tentu saja, setiap pentester memiliki persenjataannya sendiri dan seperangkat utilitasnya sendiri, karena jumlahnya sangat banyak. Saya mencoba membuat daftar beberapa yang paling nyaman dan populer. Tetapi agar siapa pun dapat membiasakan diri dengan utilitas lain ke arah ini, saya akan memberikan tautan di bawah.
Berbagai top/daftar pemindai dan utilitas
- .
distribusi Linuxyang sudah mencakup sejumlah utilitas berbeda untuk pengujian penetrasi.
pembaruan: dalam bahasa Rusia dari tim “Hack4Sec” (ditambahkan )
PS Kami tidak bisa tinggal diam tentang XSpider. Tidak ikut review, padahal shareware (saya mengetahuinya saat mengirim artikel ke SecLab, sebenarnya karena ini (bukan pengetahuan, dan kekurangan versi terbaru 7.8) dan tidak memasukkannya ke dalam artikel). Dan secara teori, peninjauannya sudah direncanakan (saya sudah menyiapkan ujian sulit untuk itu), tapi saya tidak tahu apakah dunia akan melihatnya.
PPS Beberapa materi dari artikel akan digunakan untuk tujuan yang dimaksudkan dalam laporan mendatang di 2012 di bagian QA, yang akan berisi alat-alat yang tidak disebutkan di sini (tentu saja gratis), serta algoritme, urutan penggunaan apa, hasil apa yang diharapkan, konfigurasi apa yang digunakan dan segala macam petunjuk dan trik kapan bekerja (Saya memikirkan laporannya hampir setiap hari, saya akan mencoba memberi tahu Anda semua yang terbaik tentang topik topik)
Omong-omong, ada pelajaran tentang artikel ini di Buka Hari InfoSec (, ), bisa merampok sapi Lihatlah .
Sumber: www.habr.com
