na-ekwu maka ngwaọrụ bara uru maka ndị pentesters. N'isiokwu ọhụrụ, anyị ga-eleba anya na ngwaọrụ maka nyochaa nchekwa nke ngwa weebụ.
Onye ọrụ ibe anyị Emeela m ihe dị ka nke a ihe dị ka afọ asaa gara aga. Ọ bụ ihe na-adọrọ mmasị ịhụ ngwá ọrụ ndị jigidere ma mee ka ọnọdụ ha sie ike, na nke ndị dara n'azụ ma na-ejikarị eme ihe ugbu a.
Rịba ama na nke a gụnyekwara Burp Suite, mana a ga-enwe mbipụta dị iche gbasara ya na plugins bara uru.
Ọdịnaya:
Ama
- ngwa Go maka ịchọ na ịgụta subdomains DNS yana maapụ netwọkụ mpụga. Amass bụ ọrụ OWASP emebere iji gosi ụdị ụlọ ọrụ dị na ịntanetị dị ka onye si mba ọzọ. Amass na-enweta aha subdomain n'ụzọ dị iche iche;
Iji chọpụta akụkụ netwọk jikọtara ọnụ na ọnụọgụ sistemụ kwụụrụ onwe, Amass na-eji adreesị IP enwetara n'oge arụ ọrụ. A na-eji ozi niile achọtara iji wuo maapụ netwọkụ.
Ihe:
- Usoro nchịkọta ozi gụnyere:
* DNS - akwụkwọ ọkọwa okwu nke subdomains, subdomains bruteforce, smart search site na iji mgbanwe dabere na subdomains achọtara, tụgharịa ajụjụ DNS wee chọọ sava DNS ebe enwere ike ịme arịrịọ mbufe mpaghara (AXFR);* Nchọ ebe mepere emepe - Jụọ, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Chọọ ọdụ data akwụkwọ TLS - Censys, CertDB, CertSpotter, Crtsh, Nyefee;
* Iji ihe nchọta API - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Chọọ ebe nchekwa weebụ ịntanetị: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Njikọ na Maltego;
- Na-enye mkpuchi zuru oke nke ọrụ nke ịchọ ngalaba ngalaba DNS.
Cons:
- Kpachara anya na amass.netdomains - ọ ga-anwa ịkpọtụrụ adreesị IP ọ bụla na akụrụngwa achọpụtara wee nweta aha ngalaba site na nyocha DNS na asambodo TLS. Nke a bụ usoro “dị elu”, ọ nwere ike ikpughe ọrụ ọgụgụ isi gị na nzukọ a na-eme nyocha.
- Ebe nchekwa dị elu, nwere ike iri ihe ruru 2 GB nke RAM na ntọala dị iche iche, nke na-agaghị ekwe ka ị na-agba ọsọ ngwá ọrụ a na igwe ojii na VDS dị ọnụ ala.
Altdns
- ngwa Python maka ịchịkọta akwụkwọ ọkọwa okwu maka ịgụta ngalaba ngalaba DNS. Na-enye gị ohere iwepụta ọtụtụ ụdị dị iche iche nke subdomains site na iji ngbanwe na mmụgharị. Maka nke a, a na-eji okwu ndị a na-ahụkarị na subdomains (dịka ọmụmaatụ: ule, dev, staging), mgbanwe niile na mmụgharị na-etinye aka na subdomains ama ama, nke enwere ike nyefee na ntinye Altdns. Mpụta bụ ndepụta nke ọdịiche nke subdomains nwere ike ịdị, na ndepụta a nwere ike emesị jiri maka DNS brute ike.
Ihe:
- Na-arụ ọrụ nke ọma na nnukwu data setịpụ.
aquatone
- amara nke ọma dị ka ngwa ọzọ maka ịchọ subdomains, mana onye ode akwụkwọ n'onwe ya gbahapụrụ nke a maka ihu Amas ahụ e kwuru n'elu. Ugbu a edegharịla aquatone na Go ma na-agbasi mbọ ike maka nyocha izizi na weebụsaịtị. Iji mee nke a, aquatone na-aga site na ngalaba ndị a kapịrị ọnụ ma na-achọ weebụsaịtị na ọdụ ụgbọ mmiri dị iche iche, mgbe nke ahụ gasịrị, ọ na-anakọta ozi niile gbasara saịtị ahụ wee were nseta ihuenyo. Ọ dị mma maka nlebanya mbido ngwa ngwa nke weebụsaịtị, emesịa ị nwere ike họrọ ebumnuche ndị kacha mkpa maka mbuso agha.
Ihe:
- Ihe mmepụta ahụ na-emepụta otu faịlụ na nchekwa dị mma iji mee ihe mgbe ị na-arụ ọrụ na ngwaọrụ ndị ọzọ:
* Akuko HTML nwere nseta ihuenyo anakọtara na aha nzaghachi site na myirịta;* Faịlụ nwere URL niile ebe achọtara weebụsaịtị;
* Faịlụ nwere ọnụ ọgụgụ na data ibe;
* folda nwere faịlụ nwere isi nzaghachi sitere na ebumnuche achọtara;
* folda nwere faịlụ nwere ahụ nzaghachi sitere na ebumnuche achọtara;
* nseta ihuenyo nke webụsaịtị achọtara;
- Na-akwado ịrụ ọrụ na akụkọ XML sitere na Nmap na Masscan;
- Na-eji Chrome/Chromium enweghị isi iji mee nseta ihuenyo.
Cons:
- Ọ nwere ike ịdọta uche nke usoro nchọpụta nbanye, ya mere ọ chọrọ nhazi.
Ewere nseta ihuenyo ahụ maka otu n'ime ụdị ochie nke aquatone (v0.5.0), nke etinyere nchọ subdomain DNS. Enwere ike ịchọta ụdị ochie na .
MassDNS
bụ ngwa ọzọ maka ịchọta subdomains DNS. Isi ihe dị iche bụ na ọ na-eme ajụjụ DNS ozugbo nye ọtụtụ ndị na-edozi DNS dị iche iche ma na-eme ya na nnukwu ọsọ.
Ihe:
- Ngwa ngwa - ike idozi ihe karịrị 350 puku aha kwa nkeji.
Cons:
- MassDNS nwere ike bute nnukwu ibu na ndị na-edozi DNS a na-eji, nke nwere ike ibute mmachibido iwu na sava ndị ahụ ma ọ bụ mkpesa na ISP gị. Na mgbakwunye, ọ ga-etinye nnukwu ibu na sava DNS nke ụlọ ọrụ, ma ọ bụrụ na ha nwere ha yana ọ bụrụ na ha na-ahụ maka ngalaba ndị ị na-agbalị idozi.
- Ndepụta nke ndị na-eme mkpebi emechiela ugbu a, mana ọ bụrụ na ị họrọ ndị na-edozi DNS agbajiri agbaji wee gbakwunye ndị ọhụrụ amaara, ihe niile ga-adị mma.
Nseta ihuenyo nke aquatone v0.5.0
nsec3map
bụ ngwá ọrụ Python maka inweta ndepụta zuru oke nke ngalaba echekwara DNSSEC.
Ihe:
- Na-achọpụta ngwa ngwa na mpaghara DNS nwere ọnụ ọgụgụ kacha nta nke ajụjụ ma ọ bụrụ na enyere nkwado DNSSEC na mpaghara ahụ;
- Gụnyere ngwa mgbakwunye maka John the Ripper nke enwere ike iji mebie NSEC3 hashes.
Cons:
- A naghị edozi ọtụtụ njehie DNS nke ọma;
- Ọ dịghị akpaka parallelization nke nhazi NSEC ndekọ - ị ga-eji aka kewaa namespace;
- Oriri ebe nchekwa dị elu.
Acunetix
- ihe nyocha adịghị ike webụ nke na-akpaghị aka usoro ịlele nchekwa nke ngwa weebụ. Na-anwale ngwa maka injections SQL, XSS, XXE, SSRF na ọtụtụ adịghị ike webụ ọzọ. Agbanyeghị, dị ka nyocha ọ bụla ọzọ, adịghị ike webụ dị iche iche anaghị edochi pentester, ebe ọ bụ na ọ nweghị ike ịhụ ụdọ dị mgbagwoju anya nke adịghị ike ma ọ bụ adịghị ike na mgbagha. Mana ọ na-ekpuchi ọtụtụ adịghị ike dị iche iche, gụnyere CVE dị iche iche, nke pentester nwere ike chefuo ya, yabụ ọ dị mma maka ịtọhapụ gị na nyocha oge niile.
Ihe:
- Ọkwa dị ala nke ụgha ụgha;
- Enwere ike ibupu nsonaazụ dịka akụkọ;
- Na-eme ọtụtụ ndenye ego maka adịghị ike dị iche iche;
- Ndekota nyocha nke otutu ndị ọbịa.
Cons:
- Enweghị nbibi algorithm (Acunetix ga-atụle ibe ndị yiri ya na ọrụ dị iche iche, ebe ọ bụ na ha na-eduga na URL dị iche iche), ma ndị mmepe na-arụ ọrụ na ya;
- Na-achọ ntinye na sava weebụ dị iche, nke na-agbagwoju anya nyocha sistemụ ndị ahịa nwere njikọ VPN yana iji nyocha na mpaghara dịpụrụ adịpụ nke netwọk ndị ahịa mpaghara;
- Ọrụ a na-amụ nwere ike ime mkpọtụ, dịka ọmụmaatụ, site na izipu ọtụtụ vectors ọgụ na ụdị kọntaktị dị na saịtị ahụ, si otú ahụ na-akpaghasị usoro azụmahịa;
- Ọ bụ ihe nwe ya na, ya mere, ọ bụghị ngwọta efu.
Nchọpụta
- ngwa Python maka akwụkwọ ndekọ aha na faịlụ dị na weebụsaịtị.
Ihe:
- Nwere ike ịmata ibe "200 OK" n'ezie na ibe "200 OK", mana na ederede "ahụghị ibe";
- Na-abịa na akwụkwọ ọkọwa okwu aka nke nwere ezigbo nguzozi n'etiti nha na arụmọrụ ọchụchọ. Nwere ụzọ ọkọlọtọ nke ọtụtụ CMS na ngwugwu teknụzụ;
- Ọkpụkpọ ọkọwa okwu nke ya, nke na-enye gị ohere ịrụ ọrụ nke ọma na mgbanwe n'ịgụ faịlụ na akwụkwọ ndekọ aha;
- Mmepụta dị mma - ederede doro anya, JSON;
- Ọ nwere ike ime throttling - nkwụsịtụ n'etiti arịrịọ, nke dị mkpa maka ọrụ ọ bụla adịghị ike.
Cons:
- A ghaghị ịfefe ndọtị dị ka eriri, nke na-adịghị mma ma ọ bụrụ na ịchọrọ ịgafe ọtụtụ ndọtị ozugbo;
- Iji jiri akwụkwọ ọkọwa okwu gị, ọ ga-adị mkpa ka emegharịa ya ntakịrị ka ọ bụrụ usoro ọkọwa okwu Dirsearch maka oke arụmọrụ.
wfuz
- Python ngwa webụ fuzzer. Eleghị anya otu n'ime usoro webụsaịtị ama ama. Ụkpụrụ ahụ dị mfe: wfuzz na-enye gị ohere ịmepụta ebe ọ bụla na arịrịọ HTTP, nke na-eme ka o kwe omume ịmepụta GET/POST paramita, HTTP nkụnye eji isi mee, gụnyere kuki na ndị isi nyocha. N'otu oge ahụ, ọ dịkwa mma maka ike dị mfe nke akwụkwọ ndekọ aha na faịlụ, nke ịchọrọ akwụkwọ ọkọwa okwu dị mma. Ọ nwekwara usoro nzacha na-agbanwe agbanwe, nke ị nwere ike nyochaa nzaghachi site na webụsaịtị dị ka akụkụ dị iche iche, nke na-enye gị ohere iji nweta nsonaazụ dị irè.
Ihe:
- Multifunctional - modular Ọdịdị, mgbakọ na-ewe nkeji ole na ole;
- Usoro nzacha na nke dị mma;
- Ị nwere ike ịhazi usoro HTTP ọ bụla, yana ebe ọ bụla na arịrịọ HTTP.
Cons:
- N'okpuru mmepe.
mfe
- fuzzer webụ na Go, nke emepụtara na "onyinyo na oyiyi" nke wfuzz, na-enye gị ohere ịmegharị faịlụ, akwụkwọ ndekọ aha, ụzọ URL, aha na ụkpụrụ nke GET / POST paramita, HTTP nkụnye eji isi mee, gụnyere onye isi nchịkwa maka. brute-force virtual hosts. wfuzz dị iche na nwanne ya n'ọsọ dị elu yana ụfọdụ atụmatụ ọhụrụ, dịka ọmụmaatụ, ọ na-akwado akwụkwọ ọkọwa okwu Dirsearch.
Ihe:
- Ihe nzacha yiri ihe nzacha wfuzz, ha na-enye gị ohere ịhazi ike dị nro;
- Na-enye gị ohere ịmegharị ụkpụrụ nkụnye eji isi mee HTTP, data arịrịọ POST na akụkụ dị iche iche nke URL, gụnyere aha na ụkpụrụ nke paramita GET;
- Ị nwere ike ịkọwapụta usoro HTTP ọ bụla.
Cons:
- N'okpuru mmepe.
gobuster
- ngwá ọrụ Go maka nyocha, nwere ụdị ọrụ abụọ. A na-eji nke mbụ eme ihe iji mebie faịlụ na akwụkwọ ndekọ aha na webụsaịtị, a na-eji nke abụọ eme ihe iji mebie ikike DNS subdomains. Ngwá ọrụ ahụ anaghị akwado mmalite recursive recursive recursive recursive recursive file and directories, nke, n'ezie, na-azọpụta oge, ma n'aka nke ọzọ, ike ọjọọ nke ọ bụla ọhụrụ njedebe na webụsaịtị ga-amalite iche iche.
Ihe:
- Ọsọ ọrụ dị elu ma maka ịchọ ike ike nke DNS subdomains yana maka ike dị egwu nke faịlụ na akwụkwọ ndekọ aha.
Cons:
- Ụdị dị ugbu a anaghị akwado ịtọ ntọala HTTP;
- Site na ndabara, ọ bụ naanị ụfọdụ koodu ọnọdụ HTTP (200,204,301,302,307) ka a na-ewere dị irè.
Arjun
- ngwa maka ike brute nke paramita HTTP zoro ezo na GET/POST, yana JSON. Akwụkwọ ọkọwa okwu arụnyere n'ime nwere okwu 25, nke Ajrun na-enyocha n'ihe fọrọ nke nta ka ọ bụrụ 980 sekọnd. Aghụghọ a bụ na Ajrun anaghị enyocha paramita ọ bụla iche, kama ọ na-enyocha ~ 30 parameters n'otu oge wee hụ ma azịza agbanweela. Ọ bụrụ na azịza ya agbanweela, ọ na-ekewa paramita 1000 a n'ime akụkụ abụọ wee lelee nke akụkụ ndị a na-emetụta azịza ya. Ya mere, n'iji nchọta ọnụọgụ abụọ dị mfe, a na-ahụ paramita ma ọ bụ ọtụtụ ihe zoro ezo nke metụtara azịza ya, ya mere, nwere ike ịdị.
Ihe:
- Ọsọ dị elu n'ihi ọchụchọ ọnụọgụ abụọ;
- Nkwado maka paramita GET/POST, yana paramita n'ụdị JSON;
Ngwa mgbakwunye maka Burp Suite na-arụ ọrụ na ụkpụrụ yiri nke ahụ - , nke dịkwa mma n'ịchọta paramita HTTP zoro ezo. Anyị ga-agwa gị ihe gbasara ya na akụkọ na-abịanụ gbasara Burp na plugins ya.
Njikọ njikọ
- edemede Python maka ịchọ njikọ na faịlụ JavaScript. Ọ bara uru ịchọta njedebe/URL zoro ezo ma ọ bụ chefuo na ngwa webụ.
Ihe:
- Ngwa ngwa;
- Enwere ngwa mgbakwunye pụrụ iche maka Chrome dabere na LinkFinder.
.
Cons:
- Nkwubi ikpeazụ na-adịghị mma;
- Anaghị enyocha JavaScript ka oge na-aga;
- Ọ dị mfe nghọta maka ịchọ njikọ - ọ bụrụ na emechiri JavaScript n'ụzọ ụfọdụ, ma ọ bụ njikọ ahụ na-efu na mbụ wee mepụta nke ọma, mgbe ahụ ọ gaghị enwe ike ịchọta ihe ọ bụla.
JSParser
bụ script Python nke na-eji и itughari URL ndị ikwu na faịlụ Javascript. Ọ bara ezigbo uru maka ịchọpụta arịrịọ AJAX yana ịchịkọta ndepụta ụzọ API nke ngwa ahụ na-emekọrịta ihe. Na-arụ ọrụ nke ọma na njikọ LinkFinder.
Ihe:
- Ntụle ngwa ngwa nke faịlụ Javascript.
sqlmap
nwere ike ịbụ otu n'ime ngwaọrụ ndị ama ama maka nyocha ngwa weebụ. Sqlmap na-emezi ọchụchọ na ọrụ nke injections SQL, na-arụ ọrụ na ọtụtụ olumba SQL, ma nwee ọnụ ọgụgụ dị ukwuu nke usoro dị iche iche n'ime ngwa agha ya, sitere na nkwubi okwu kwụ ọtọ ruo na mgbagwoju anya maka ịgbanye SQL oge. Na mgbakwunye, ọ nwere ọtụtụ usoro maka nrigbu ọzọ maka DBMS dị iche iche, yabụ ọ bara uru ọ bụghị naanị dị ka nyocha maka injections SQL, kamakwa dị ka ngwá ọrụ dị ike maka nrigbu achọpụtala injections SQL.
Ihe:
- Ọnụ ọgụgụ buru ibu nke usoro dị iche iche na vectors;
- Ọnụ ọgụgụ dị ala nke ụgha ụgha;
- Ọtụtụ nhọrọ nlegharị anya nke ọma, usoro dị iche iche, nchekwa data ebumnuche, scripts maka ịgafe WAF;
- Ikike imepụta ihe mkpofu;
- Ọtụtụ ikike ịrụ ọrụ dị iche iche, dịka ọmụmaatụ, maka ụfọdụ ọdụ data - nbudata / nbudata faịlụ na-akpaghị aka, ịnweta ikike ịme iwu (RCE) na ndị ọzọ;
- Nkwado maka njikọ kpọmkwem na nchekwa data site na iji data enwetara n'oge agha;
- Ị nwere ike nyefee faịlụ ederede yana nsonaazụ Burp dị ka ntinye - ọ dịghị mkpa iji aka dee njirimara ahịrị iwu niile.
Cons:
- O siri ike ịhazi, dịka ọmụmaatụ, ide ụfọdụ akwụkwọ ndenye ego maka nke a;
- Na-enweghị ntọala kwesịrị ekwesị, ọ na-eme nyocha nlele na-ezughị ezu, nke nwere ike iduhie.
NoSQLMap
- ngwa Python maka ịmegharị ọchụchọ na nrigbu nke injections NoSQL. Ọ dị mma iji ọ bụghị naanị na ọdụ data NoSQL, kamakwa ozugbo mgbe ị na-enyocha ngwa weebụ na-eji NoSQL.
Ihe:
- Dị ka sqlmap, ọ bụghị naanị na ọ na-achọta adịghị ike, kamakwa ọ na-enyocha ohere nke nrigbu ya maka MongoDB na CouchDB.
Cons:
- Ọ naghị akwado NoSQL maka Redis, Cassandra, mmepe na-aga n'ihu na ntụziaka a.
oxml_xxe
- ngwa maka itinye XXE XML na-erigbu n'ime ụdị faịlụ dị iche iche na-eji usoro XML n'ụdị ụfọdụ.
Ihe:
- Na-akwado ọtụtụ usoro a na-ahụkarị dịka DOCX, ODT, SVG, XML.
Cons:
- Nkwado maka PDF, JPEG, GIF adịghị arụ ọrụ nke ọma;
- Na-emepụta naanị otu faịlụ. Iji dozie nsogbu a ị nwere ike iji ngwá ọrụ , nke nwere ike ịmepụta ọnụ ọgụgụ buru ibu nke faịlụ nkwụnye ụgwọ na ebe dị iche iche.
Ngwa ndị a dị n'elu na-arụ nnukwu ọrụ nke ịnwale XXE mgbe ị na-ebunye akwụkwọ nwere XML. Mana chetakwa na enwere ike ịhụ ndị na-ahụ maka usoro XML n'ọtụtụ ọnọdụ ndị ọzọ, dịka ọmụmaatụ, enwere ike iji XML dị ka usoro data kama JSON.
Ya mere, anyị na-akwado ka ị ṅaa ntị na ebe nchekwa ndị a, nke nwere ọnụ ọgụgụ buru ibu nke ụgwọ dị iche iche: .
tplmap
- ngwa Eke Ọgba maka ịchọpụta na irigbu adịghị ike ịgbanye ihe nkesa nke akụkụ ọ nwere ntọala na ọkọlọtọ yiri sqlmap. Na-eji usoro dị iche iche na vector dị iche iche, gụnyere ntụtụ kpuru ìsì, ma nweekwa usoro maka ime koodu na nbudata/ebugote faịlụ aka ike. Na mgbakwunye, o nwere na ngwa agha ya usoro maka iri na abuo dị iche iche template engines na ụfọdụ usoro maka ịchọ eval () -dị ka code injections na Python, Ruby, PHP, JavaScript. Ọ bụrụ na ọ ga nke ọma, ọ na-emepe ihe njikwa mmekọrịta.
Ihe:
- Ọnụ ọgụgụ buru ibu nke usoro dị iche iche na vectors;
- Na-akwado ọtụtụ engines nsụgharị template;
- Ọtụtụ usoro eji arụ ọrụ.
CeWL
- onye na-emepụta ọkọwa okwu na Ruby, nke emepụtara iji wepụta okwu pụrụ iche na webụsaịtị akọwapụtara, na-eso njikọ dị na saịtị ahụ na omimi akọwapụtara. Enwere ike iji akwụkwọ ọkọwa okwu achịkọtara nke mkpụrụokwu pụrụ iche mechaa mebie okwuntughe na ọrụ ma ọ bụ faịlụ ike na akwụkwọ ndekọ aha dị n'otu webụsaịtị ahụ, ma ọ bụ iji hashcat ma ọ bụ John the Ripper wakpo hashes sitere na ya. Ọ bara uru mgbe ị na-achịkọta ndepụta “lekwasịrị anya” nke okwuntughe nwere ike.
Ihe:
- Ọ dị mfe iji.
Cons:
- Ịkwesịrị ịkpachara anya na omimi ọchụchọ ka ị ghara ijide ngalaba ọzọ.
Weakpass
- ọrụ nwere ọtụtụ akwụkwọ ọkọwa okwu nwere okwuntughe pụrụ iche. Ọ bara uru nke ukwuu maka ọrụ dị iche iche metụtara mgbawa okwuntughe, sitere na ike dị n'ịntanetị dị mfe nke akaụntụ na ọrụ ebumnuche, ruo n'ike n'ịntanetị nke enwetara hashes site na iji. ma ọ bụ . O nwere ihe dị ka ijeri okwuntughe dị ijeri asatọ sitere na mkpụrụedemede 8 ruo 4 n'ogologo.
Ihe:
- Nwere ma akwụkwọ ọkọwa okwu na akwụkwọ ọkọwa okwu nwere okwuntughe kachasị - ị nwere ike họrọ otu ọkọwa okwu maka mkpa nke gị;
- A na-emelite akwụkwọ ọkọwa okwu ma jiri okwuntughe ọhụrụ jupụta;
- A na-ahazi akwụkwọ ọkọwa okwu site na arụmọrụ. Ị nwere ike họrọ nhọrọ maka ma ngwa ngwa online brute ike na nkọwa zuru ezu nke okwuntughe site na nnukwu ọkọwa okwu nwere ntapu ọhụrụ;
- Enwere mgbako na-egosi oge ọ na-ewe iji mebie okwuntughe na akụrụngwa gị.
Ọ ga-amasị anyị itinye ngwaọrụ maka nlele CMS na otu dị iche: WPScan, JoomScan na AEM hacker.
AEM_hacker
bụ ngwa eji amata adịghị ike na ngwa Adobe Experience Manager (AEM).
Ihe:
- Nwere ike ịchọpụta ngwa AEM site na ndepụta URL ndị etinyere na ntinye ya;
- Nwere scripts maka inweta RCE site na ịkwanye shei JSP ma ọ bụ irigbu SSRF.
JoomScan
- ngwa Perl maka ịmegharị nchọpụta nke adịghị ike mgbe a na-ebuga Joomla CMS.
Ihe:
- Enwere ike ịchọta ntụpọ nhazi na nsogbu na nhazi nhazi;
- Na-edepụta ụdị Joomla na adịghị ike emetụtara, n'otu aka ahụ maka ihe ndị dị n'otu n'otu;
- Nwere ihe karịrị 1000 nrigbu maka akụrụngwa Joomla;
- Mmepụta akụkọ ikpeazụ n'ụdị ederede na HTML.
WPScan
- ngwá ọrụ maka nyocha saịtị WordPress, ọ nwere adịghị ike na ngwa agha ya ma maka WordPress engine n'onwe ya na maka ụfọdụ plugins.
Ihe:
- Ike ịdepụta ọ bụghị naanị plugins na gburugburu WordPress na-adịghị ize ndụ, kamakwa ịnweta ndepụta nke ndị ọrụ na faịlụ TimThumb;
- Nwere ike ịme mwakpo ike dị egwu na saịtị WordPress.
Cons:
- Na-enweghị ntọala kwesịrị ekwesị, ọ na-eme nyocha nlele na-ezughị ezu, nke nwere ike iduhie.
N'ozuzu, ndị dị iche iche na-ahọrọ ngwá ọrụ dị iche iche maka ọrụ: ha niile dị mma n'ụzọ nke aka ha, na ihe otu onye na-amasị nwere ike ọ gaghị adabara onye ọzọ ma ọlị. Ọ bụrụ na ị na-eche na anyị na-ezighị ezi na-eleghara ụfọdụ ezi ịba uru, dee banyere ya na-ekwu!
isi: www.habr.com