Fyrir nokkru skrifaði ég um , en dálítið rýr og óskipulegur. Í kjölfarið ákvað ég að stækka lista yfir verkfæri í umfjölluninni, bæta við uppbyggingu greinarinnar og taka tillit til gagnrýni (kærar þakkir til ráðgjafar) og sendi það í samkeppni á SecLab (og birt , en af öllum augljósum ástæðum sá hana enginn). Keppninni er lokið, úrslit hafa verið kynnt og með góðri samvisku get ég birt hana (greinina) á Habré.
Ókeypis vefforrit Pentester verkfæri
Í þessari grein mun ég tala um vinsælustu verkfærin til að rannsaka (penetríupróf) vefforrita með „svarta kassanum“ stefnunni.
Til að gera þetta munum við skoða tól sem munu hjálpa við þessa tegund af prófunum. Íhugaðu eftirfarandi vöruflokka:
- Netskannar
- Skannar fyrir brot á vefforskriftum
- Hagnýting
- Sjálfvirkni inndælinga
- Villuleitartæki (sniffers, staðbundnir umboðsmenn osfrv.)
Sumar vörur hafa alhliða „karakter“ þannig að ég mun flokka þær í þann flokk sem þær hafa aоbetri útkoma (huglæg skoðun).
Netskannar.
Aðalverkefnið er að finna tiltæka netþjónustu, setja upp útgáfur þeirra, ákvarða stýrikerfið osfrv.
Nmap
er ókeypis og opinn hugbúnaður fyrir netgreiningu og kerfisöryggisendurskoðun. Ofbeldisfullir andstæðingar stjórnborðsins geta notað Zenmap, sem er GUI fyrir Nmap.
Þetta er ekki bara „snjall“ skanni, þetta er alvarlegt stækkanlegt tól (einn af „óvenjulegu eiginleikum“ er tilvist handrits til að athuga hvort hnút sé til staðar fyrir ormur "“ (nefndar ). Dæmi um notkun:
nmap -A -T4 localhost
-A fyrir uppgötvun stýrikerfisútgáfu, handritaskönnun og rekja
-T4 tímastýringarstilling (meira er hraðari, frá 0 til 5)
localhost - markgestgjafi
Eitthvað harðara?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Þetta er sett af valkostum úr „slow comprehensive scan“ prófílnum í Zenmap. Það tekur nokkuð langan tíma að klára það en gefur að lokum ítarlegri upplýsingar sem hægt er að finna út um markkerfið. , ef þú ákveður að fara dýpra mæli ég líka með að þýða greinina .
Nmap hefur fengið stöðu „Öryggisvara ársins“ frá tímaritum og samfélögum eins og Linux Journal, Info World, LinuxQuestions.Org og Codetalker Digest.
Áhugaverður punktur, Nmap má sjá í myndunum „The Matrix Reloaded“, „Die Hard 4“, „The Bourne Ultimatum“, „Hottabych“ og .
IP-tól
- eins konar sett af mismunandi nettólum, kemur með GUI, "tileinkað" Windows notendum.
Port skanni, sameiginleg auðlindir (samnýttir prentarar/möppur), WhoIs/Finger/Lookup, telnet viðskiptavinur og margt fleira. Bara þægilegt, hratt, hagnýtt tól.
Það er enginn sérstakur tilgangur að íhuga aðrar vörur, þar sem það er mikið af veitum á þessu sviði og þær hafa allar svipaðar rekstrarreglur og virkni. Samt sem áður er nmap það sem er oftast notað.
Skannar fyrir brot á vefforskriftum
Reynt að finna vinsæla veikleika (SQL inj, XSS, LFI/RFI osfrv.) eða villur (ekki eytt tímabundnum skrám, skráarskráningu osfrv.)
Acunetix vefvarnarskanni
— af hlekknum má sjá að þetta er xss skanni, en þetta er ekki alveg satt. Ókeypis útgáfan, sem er fáanleg hér, býður upp á heilmikla virkni. Venjulega verður sá sem keyrir þennan skanna í fyrsta skipti og fær skýrslu um auðlind sína í fyrsta skipti fyrir smá áfalli og þú munt skilja hvers vegna þegar þú gerir þetta. Þetta er mjög öflug vara til að greina alls kyns veikleika á vefsíðu og virkar ekki aðeins með venjulegum PHP vefsíðum, heldur einnig á öðrum tungumálum (þó að munurinn á tungumáli sé ekki vísbending). Það er enginn sérstakur tilgangur að lýsa leiðbeiningunum, þar sem skanninn „sýkir“ einfaldlega aðgerðir notandans. Eitthvað svipað og „næst, næst, næst, tilbúið“ í dæmigerðri hugbúnaðaruppsetningu.
Nikto
Þetta er Open Source (GPL) vefskriðill. Útrýma hefðbundinni handavinnu. Leitar á marksíðunni að forskriftum sem ekki hefur verið eytt (sum test.php, index_.php o.s.frv.), gagnagrunnsstjórnunarverkfæri (/phpmyadmin/, /pma og þess háttar) o.s.frv., það er, athugar auðlindina fyrir algengustu villunum venjulega af völdum mannlegra þátta.
Auk þess, ef það finnur eitthvað vinsælt handrit, athugar það hvort það sé útgefið hetjudáð (sem eru í gagnagrunninum).
Tilkynnir um tiltækar „óæskilegar“ aðferðir eins og PUT og TRACE
Og svo framvegis. Það er mjög þægilegt ef þú vinnur sem endurskoðandi og greinir vefsíður á hverjum degi.
Af mínusunum vil ég benda á hátt hlutfall falskra jákvæðra. Til dæmis, ef vefsíðan þín gefur alltaf upp aðalvilluna í stað 404 villu (þegar hún ætti að koma), þá mun skanninn segja að vefsvæðið þitt inniheldur öll forskriftir og alla veikleika úr gagnagrunninum. Í reynd gerist þetta ekki svo oft, en í raun veltur mikið á uppbyggingu síðunnar þinnar.
Klassísk notkun:
./nikto.pl -host localhost
Ef þú þarft að hafa heimild á síðunni geturðu sett vafraköku í nikto.conf skrána, STATIC-COOKIE breytuna.
Wikto
— Nikto fyrir Windows, en með nokkrum viðbótum, svo sem „óljósri“ rökfræði þegar athugað er með kóða fyrir villur, notkun GHDB, aflað tenglum og tilfangamöppum, rauntíma eftirlit með HTTP beiðnum/svörum. Wikto er skrifað í C# og krefst .NET ramma.
skipfiskur
- varnarleysisskanni á vefnum frá (þekkt sem lcamtuf). Skrifað í C, þvert á vettvang (Win krefst Cygwin). Endurkvæmt (og í mjög langan tíma, um 20~40 klukkustundir, þó síðast þegar það virkaði fyrir mig var 96 klukkustundir) skríður það alla síðuna og finnur alls kyns öryggisholur. Það býr líka til mikla umferð (nokkrir GB komandi/út). En allar leiðir eru góðar, sérstaklega ef þú hefur tíma og fjármagn.
Dæmigert notkun:
./skipfish -o /home/reports www.example.com
Í "skýrslum" möppunni verður skýrsla í html, .
w3af
— Web Application Attack and Audit Framework, opinn uppspretta varnarleysisskanni á vefnum. Það er með GUI, en þú getur unnið frá stjórnborðinu. Nánar tiltekið er það umgjörð með .
Þú getur talað um kosti þess í langan tíma, það er betra að prófa það :] Dæmigert vinna við það snýst um að velja prófíl, tilgreina markmið og í raun setja það af stað.
Mantra Security Framework
er draumur sem rættist. Safn ókeypis og opinna upplýsingaöryggisverkfæra sem eru innbyggð í vafra.
Mjög gagnlegt þegar vefforrit eru prófuð á öllum stigum.
Notkun snýst um að setja upp og ræsa vafrann.
Reyndar er mikið af tólum í þessum flokki og það er frekar erfitt að velja ákveðinn lista úr þeim. Oftast ákveður hver pentester sjálfur hvaða verkfæri hann þarfnast.
Hagnýting
Fyrir sjálfvirka og þægilegri hagnýtingu á veikleikum eru hetjudáðir skrifaðar í hugbúnað og forskriftir, sem aðeins þarf að fara framhjá breytum til að nýta öryggisgatið. Og það eru vörur sem útiloka þörfina á að leita handvirkt að hetjudáðum og jafnvel beita þeim á flugu. Verður nú fjallað um þennan flokk.
Metasploit Framework
- eins konar skrímsli í viðskiptum okkar. Hann getur svo mikið að leiðbeiningarnar ná yfir nokkrar greinar. Við munum skoða sjálfvirka hagnýtingu (nmap + metasploit). Niðurstaðan er þessi: Nmap mun greina portið sem við þurfum, setja upp þjónustuna og metasploit mun reyna að beita hetjudáðum á hana út frá þjónustuflokknum (ftp, ssh, osfrv.). Í stað textaleiðbeininga mun ég setja inn myndband sem er nokkuð vinsælt um efnið autopwn
Eða við getum einfaldlega gert sjálfvirkan rekstur hagnýtingar sem við þurfum. Td:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Reyndar er möguleiki þessa ramma mjög víðtækur, svo ef þú ákveður að fara dýpra, farðu til
Armitage
— OVA af netpönktegundinni GUI fyrir Metasploit. Sýnir markmiðið, mælir með hetjudáð og býður upp á háþróaða eiginleika rammans. Almennt, fyrir þá sem vilja að allt sé fallegt og áhrifamikið.
Skjávarp:
Tenable Nessus®
- getur gert ýmislegt, en einn af þeim möguleikum sem við þurfum frá því er að ákvarða hvaða þjónustur hafa hetjudáð. Ókeypis útgáfa af vörunni „aðeins heima“
Использование:
- Hlaðið niður (fyrir kerfið þitt), sett upp, skráð (lykillinn er sendur á netfangið þitt).
- Ræsti netþjóninn, bætti notandanum við Nessus Server Manager (Stjórna notendum hnappur)
- Við förum á heimilisfangið
https://localhost:8834/
og fáðu flash biðlarann í vafranum
- Skannar -> Bæta við -> fylltu út reitina (með því að velja skannasniðið sem hentar okkur) og smelltu á Skanna
Eftir nokkurn tíma mun skannaskýrslan birtast á flipanum Skýrslur
Til að athuga hagnýt varnarleysi þjónustu fyrir misnotkun geturðu notað Metasploit Framework sem lýst er hér að ofan eða reynt að finna hetjudáð (til dæmis á , , o.s.frv.) og notaðu það handvirkt gegn kerfi þess
IMHO: of fyrirferðarmikill. Ég kom með hann sem einn af leiðtogunum í þessari átt hugbúnaðariðnaðarins.
Sjálfvirkni inndælinga
Margir vefforrita sec skannar leita að inndælingum, en þeir eru samt bara almennir skannar. Og það eru tól sem fjalla sérstaklega um að leita að og nýta inndælingar. Við munum tala um þau núna.
sqlmap
— opinn hugbúnaður til að leita og nýta SQL innspýtingar. Styður gagnagrunnsþjóna eins og: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Dæmigerð notkun snýst um línuna:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Það eru nægar handbækur, þar á meðal á rússnesku. Hugbúnaðurinn auðveldar mjög vinnu pentester þegar unnið er á þessu svæði.
Ég mun bæta við opinberri myndbandssýningu:
bsqlbf-v2
- perl handrit, grimmur valdhafi fyrir „blindar“ SQL innspýtingar. Það virkar bæði með heiltölugildi í vefslóð og með strengjagildum.
Gagnagrunnur studdur:
- MS-SQL
- MySQL
- PostgreSQL
- Oracle
Dæmi um notkun:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url - Tengill við breytur
-blind u — færibreyta fyrir inndælingu (sjálfgefið er sú síðasta tekin af veffangastikunni)
-sql "velja töfluheiti úr imformation_schema.tables takmörk 1 offset 0" — handahófskennd beiðni okkar til gagnagrunnsins
-gagnagrunnur 1 — gagnagrunnsþjónn: MSSQL
-gerð 1 — tegund árásar, „blind“ innspýting, byggð á True and Error (til dæmis setningafræðivillum) svörum
Villur
Þessi verkfæri eru aðallega notuð af forriturum þegar þeir eiga í vandræðum með niðurstöður þess að keyra kóðann sinn. En þessi stefna er líka gagnleg fyrir pentesting, þegar við getum skipt út gögnum sem við þurfum á flugu, greint hvað kemur til að bregðast við innsláttarbreytum okkar (til dæmis við fuzzing) osfrv.
Burp svíta
— safn af tólum sem hjálpa til við skarpskyggnipróf. Það er á netinu á rússnesku frá Raz0r (þó fyrir 2008).
Ókeypis útgáfan inniheldur:
- Burp Proxy er staðbundið umboð sem gerir þér kleift að breyta þegar myndaðar beiðnum úr vafranum
- Burp Spider - kónguló, leitar að núverandi skrám og möppum
- Burp Repeater - sendir HTTP beiðnir handvirkt
- Burp Sequencer - greining á slembigildum í formum
- Burp Decoder er venjulegur kóðara-afkóðari (html, base64, hex osfrv.), þar af eru þúsundir sem hægt er að skrifa fljótt á hvaða tungumáli sem er.
- Burp Comparer - String Comparison Component
Í grundvallaratriðum leysir þessi pakki nánast öll vandamál sem tengjast þessu svæði.
Fiddler
— Fiddler er kembiforrit sem skráir alla HTTP(S) umferð. Gerir þér kleift að skoða þessa umferð, setja brotpunkta og „leika“ með gögn sem berast eða fara út.
Það er líka , skrímsli og aðrir, valið er undir notandanum komið.
Ályktun
Auðvitað hefur hver pentester sitt eigið vopnabúr og sitt eigið tól, þar sem það er einfaldlega fullt af þeim. Ég reyndi að telja upp nokkrar af þeim þægilegustu og vinsælustu. En svo að hver sem er geti kynnt sér önnur tól í þessa átt mun ég koma með tengla hér að neðan.
Ýmsir toppar/listar yfir skanna og tól
- .
Linux dreifingar sem innihalda nú þegar fullt af mismunandi gagnvirkum tólum
uppd: á rússnesku frá „Hack4Sec“ teyminu (bætt við )
PS Við getum ekki þagað um XSpider. Tekur ekki þátt í umsögninni, þó það sé deilihugbúnaður (ég komst að því þegar ég sendi greinina til SecLab, reyndar vegna þessa (ekki þekking, og skortur á nýjustu útgáfu 7.8) og tók hana ekki inn í greinina). Og í orði, var endurskoðun á því fyrirhuguð (ég er með erfið próf undirbúin fyrir það), en ég veit ekki hvort heimurinn mun sjá það.
PPS Sumt efni úr greininni verður notað í tilætluðum tilgangi í væntanlegri skýrslu kl 2012 í QA hlutanum, sem mun innihalda verkfæri sem ekki eru nefnd hér (að sjálfsögðu ókeypis), sem og reikniritið, í hvaða röð á að nota hvað, hvaða niðurstöðu má búast við, hvaða stillingar á að nota og alls kyns vísbendingar og brellur þegar vinna (ég hugsa um skýrsluna næstum á hverjum degi, ég mun reyna að segja þér allt það besta um efnið)
Við the vegur, það var kennslustund um þessa grein kl Opnir InfoSec Days (, ), dós ræna Kóróvana kíkja .
Heimild: www.habr.com