Vefverkfæri, eða hvar á að byrja sem pentester?

Halda áfram tala um gagnleg verkfæri fyrir pentesters. Í nýju greininni munum við skoða verkfæri til að greina öryggi vefforrita.

Samstarfsmaður okkar BeLove Ég hef nú þegar gert eitthvað svona samantekt fyrir um sjö árum. Athyglisvert er að sjá hvaða verkfæri hafa haldið og styrkt stöðu sína og hver hefur dofnað í bakgrunninn og eru nú sjaldan notuð.


Athugaðu að þetta felur einnig í sér Burp Suite, en það verður sérstakt rit um það og gagnlegar viðbætur þess.

Efnisyfirlit:

• Safna
• Altdns
• aquatone
• MassDNS
• nsec3kort
• Acunetix
• Direarch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Veikpassi
• AEM_hacker
• JoomScan
• WPScan

Safna

Safna - Go tól til að leita og telja upp DNS undirlén og kortleggja ytra netið. Amass er OWASP verkefni hannað til að sýna hvernig stofnanir á netinu líta út fyrir utanaðkomandi. Amass fær undirlén á ýmsan hátt; tólið notar bæði endurkvæma upptalningu á undirlénum og opinn uppspretta leit.

Til að uppgötva samtengda nethluta og sjálfstætt kerfisnúmer notar Amass IP-tölur sem fæst við notkun. Allar upplýsingar sem finnast eru notaðar til að búa til netkort.

Kostir:

• Aðferðir við upplýsingaöflun fela í sér:
  * DNS - orðabókaleit á undirlénum, ​​bruteforce undirlén, snjöll leit með stökkbreytingum byggðar á fundnum undirlénum, ​​snúið DNS fyrirspurnum og leitað að DNS netþjónum þar sem hægt er að gera svæðisflutningsbeiðni (AXFR);

  * Opinn uppspretta leit - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Leitaðu í TLS vottorðsgagnagrunnum - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Notkun leitarvéla API - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Leitaðu í vefskjalasöfnum á netinu: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Samþætting við Maltego;
• Veitir fullkomnustu umfjöllun um verkefnið að leita að DNS undirlénum.

Gallar:

• Vertu varkár með amass.netdomains - það mun reyna að hafa samband við hvert IP-tölu í auðkenndum innviðum og fá lén úr öfugri DNS leit og TLS vottorð. Þetta er „áberandi“ tækni, hún getur leitt í ljós njósnastarfsemi þína í stofnuninni sem er til rannsóknar.
• Mikil minnisnotkun, getur neytt allt að 2 GB af vinnsluminni í mismunandi stillingum, sem gerir þér ekki kleift að keyra þetta tól í skýinu á ódýrum VDS.

Altdns

Altdns — Python tól til að setja saman orðabækur til að telja upp DNS undirlén. Gerir þér kleift að búa til mörg afbrigði af undirlénum með stökkbreytingum og umbreytingum. Til þess eru orð sem oft finnast í undirlénum notuð (til dæmis: test, dev, stiging), allar stökkbreytingar og umbreytingar eru settar á þegar þekkt undirlén, sem hægt er að senda inn í Altdns inntakið. Úttakið er listi yfir afbrigði af undirlénum sem geta verið til, og þennan lista er síðar hægt að nota fyrir DNS brute force.

Kostir:

• Virkar vel með stórum gagnasöfnum.

aquatone

aquatone - var áður þekktari sem annað tól til að leita að undirlénum, ​​en höfundurinn hætti sjálfur við það í þágu áðurnefnds Amass. Nú hefur aquatone verið endurskrifað í Go og er meira miðað við bráðabirgðakönnun á vefsíðum. Til að gera þetta fer aquatone í gegnum tilgreind lén og leitar að vefsíðum á mismunandi höfnum, eftir það safnar það öllum upplýsingum um síðuna og tekur skjáskot. Þægilegt fyrir skjótan bráðabirgðakönnun á vefsíðum, eftir það geturðu valið forgangsmarkmið fyrir árásir.

Kostir:

• Úttakið býr til hóp af skrám og möppum sem er þægilegt að nota þegar unnið er frekar með öðrum verkfærum:
  * HTML skýrsla með söfnuðum skjámyndum og svartitlum flokkuðum eftir líkt;

  * Skrá með öllum vefslóðum þar sem vefsíður fundust;

  * Skrá með tölfræði og síðugögnum;

  * Mappa með skrám sem innihalda svarhausa frá fundnum skotmörkum;

  * Mappa með skrám sem innihalda meginmál svarsins frá fundnum skotmörkum;

  * Skjáskot af fundnum vefsíðum;

• Styður að vinna með XML skýrslur frá Nmap og Masscan;
• Notar höfuðlaust Chrome/Chromium til að gera skjámyndir.

Gallar:

• Það gæti vakið athygli innbrotsgreiningarkerfa, svo það krefst stillingar.

Skjáskotið var tekið fyrir eina af gömlu útgáfunum af aquatone (v0.5.0), þar sem DNS undirlénsleit var útfærð. Eldri útgáfur má finna á útgáfusíðu.

MassDNS

MassDNS er annað tæki til að finna DNS undirlén. Helsti munurinn er sá að það gerir DNS fyrirspurnir beint til margra mismunandi DNS lausnara og gerir það á töluverðum hraða.

Kostir:

• Hratt - fær um að leysa meira en 350 þúsund nöfn á sekúndu.

Gallar:

• MassDNS getur valdið verulegu álagi á DNS lausnarana sem eru í notkun, sem getur leitt til banna á þessum netþjónum eða kvartana til ISP þinnar. Að auki mun það leggja mikið álag á DNS netþjóna fyrirtækisins, ef þeir hafa þá og ef þeir bera ábyrgð á lénunum sem þú ert að reyna að leysa.
• Listinn yfir lausnarmenn er úreltur eins og er, en ef þú velur bilaða DNS-leysara og bætir við nýjum þekktum, þá verður allt í lagi.

Skjáskot af aquatone v0.5.0

nsec3kort

nsec3kort er Python tól til að fá heildarlista yfir DNSSEC vernduð lén.

Kostir:

• Finnur fljótt gestgjafa á DNS svæðum með lágmarksfjölda fyrirspurna ef DNSSEC stuðningur er virkur á svæðinu;
• Inniheldur viðbót fyrir John the Ripper sem hægt er að nota til að sprunga NSEC3 kjötkássa sem myndast.

Gallar:

• Margar DNS villur eru ekki meðhöndlaðar á réttan hátt;
• Það er engin sjálfvirk samsíða vinnslu NSEC færslur - þú verður að skipta nafnrýminu handvirkt;
• Mikil minnisnotkun.

Acunetix

Acunetix — varnarleysisskanni á vefnum sem gerir sjálfvirkan ferlið við að athuga öryggi vefforrita. Prófar forritið fyrir SQL innspýtingar, XSS, XXE, SSRF og marga aðra veikleika á vefnum. Hins vegar, eins og hver annar skanni, kemur margs konar veikleika á vefnum ekki í stað pentester, þar sem hann getur ekki fundið flóknar keðjur af veikleikum eða veikleikum í rökfræði. En það nær yfir marga mismunandi veikleika, þar á meðal ýmsa CVEs, sem pentester gæti hafa gleymt, svo það er mjög þægilegt til að losa þig við venjulega eftirlit.

Kostir:

• Lágt magn af fölskum jákvæðum;
• Niðurstöður er hægt að flytja út sem skýrslur;
• Framkvæmir mikinn fjölda athugana á ýmsum veikleikum;
• Samhliða skönnun á mörgum vélum.

Gallar:

• Það er ekkert aftvíföldunaralgrím (Acunetix mun líta á síður sem eru eins að virkni vera ólíkar, þar sem þær leiða til mismunandi vefslóða), en verktaki er að vinna í því;
• Krefst uppsetningar á sérstökum vefþjóni, sem flækir prófun viðskiptavinakerfa með VPN-tengingu og notkun skannarsins í einangruðum hluta staðbundins viðskiptavinarnets;
• Þjónustan sem verið er að rannsaka getur valdið hávaða, til dæmis með því að senda of marga árásarvektora á tengiliðaeyðublaðið á síðunni, og þar með flækja viðskiptaferla mjög;
• Það er séreign og þar af leiðandi ekki ókeypis lausn.

Direarch

Direarch — Python tól til að knýja fram möppur og skrár á vefsíðum.

Kostir:

• Getur greint raunverulegar „200 OK“ síður frá „200 OK“ síðum, en með textanum „page not found“;
• Koma með handhæga orðabók sem hefur gott jafnvægi á milli stærðar og leitarskilvirkni. Inniheldur staðlaðar slóðir sem eru algengar fyrir marga CMS og tækni stafla;
• Eigin orðabókarsnið, sem gerir þér kleift að ná góðri skilvirkni og sveigjanleika við upptalningu á skrám og möppum;
• Þægileg framleiðsla - venjulegur texti, JSON;
• Það getur gert inngjöf - hlé á milli beiðna, sem er mikilvægt fyrir veikburða þjónustu.

Gallar:

• Framlengingar verða að vera sendar sem strengur, sem er óþægilegt ef þú þarft að fara framhjá mörgum framlengingum í einu;
• Til að hægt sé að nota orðabókina þína þarf að breyta henni lítillega í Dirsearch orðabókarsniðið fyrir hámarks skilvirkni.

wfuzz

wfuzz - Fuzzer fyrir Python vefforrit. Sennilega einn frægasti veffasarinn. Meginreglan er einföld: wfuzz gerir þér kleift að fasa hvaða stað sem er í HTTP beiðni, sem gerir það mögulegt að fasa GET/POST breytur, HTTP hausa, þar á meðal smákökur og aðra auðkenningarhausa. Á sama tíma er það líka þægilegt fyrir einfaldan skepna af möppum og skrám, sem þú þarft góða orðabók fyrir. Það hefur einnig sveigjanlegt síukerfi, sem þú getur síað svör frá vefsíðunni eftir mismunandi breytum, sem gerir þér kleift að ná árangri.

Kostir:

• Multifunctional - mát uppbygging, samsetning tekur nokkrar mínútur;
• Þægilegur síu- og úðunarbúnaður;
• Þú getur stigið hvaða HTTP aðferð sem er, sem og hvaða stað sem er í HTTP beiðni.

Gallar:

• Í þróun.

ffuf

ffuf — veffúsari í Go, búinn til í „mynd og líkingu“ wfuzz, gerir þér kleift að grípa skrár, möppur, vefslóðir, nöfn og gildi GET/POST færibreyta, HTTP hausa, þar á meðal Host hausinn fyrir brute force af sýndarhýsingum. wfuzz er frábrugðið bróður sínum í meiri hraða og nokkrum nýjum eiginleikum, til dæmis styður það Dirsearch snið orðabækur.

Kostir:

• Síur eru svipaðar og wfuzz síur, þær gera þér kleift að stilla skepnakraft á sveigjanlegan hátt;
• Gerir þér kleift að flétta HTTP hausgildum, POST beiðnigögnum og ýmsum hlutum vefslóðarinnar, þar á meðal nöfn og gildi GET breytur;
• Þú getur tilgreint hvaða HTTP aðferð sem er.

Gallar:

• Í þróun.

gobuster

gobuster — Go tól til könnunar, hefur tvær aðgerðaaðferðir. Hið fyrra er notað til að hýða afl skrár og möppur á vefsíðu, hið síðara er notað til að neyða DNS undirlén. Tólið styður upphaflega ekki endurtekna upptalningu á skrám og möppum, sem sparar auðvitað tíma, en á hinn bóginn þarf að ræsa grófa kraft hvers nýs endapunkts á vefsíðunni sérstaklega.

Kostir:

• Mikill hraði í rekstri bæði fyrir grófa aflleit á DNS undirlénum og fyrir grófa kraft skráa og möppum.

Gallar:

• Núverandi útgáfa styður ekki stillingu HTTP hausa;
• Sjálfgefið er að aðeins sumir HTTP stöðukóða (200,204,301,302,307) eru taldir gildar.

Arjun

Arjun - tól fyrir brute force falinna HTTP breytur í GET/POST breytum, sem og í JSON. Innbyggða orðabókin hefur 25 orð, sem Ajrun skoðar á tæpum 980 sekúndum. Galdurinn er sá að Ajrun athugar ekki hverja breytu fyrir sig, heldur athugar ~30 breytur í einu og sér hvort svarið hafi breyst. Ef svarið hefur breyst, skiptir það þessum 1000 breytum í tvo hluta og athugar hver þessara hluta hefur áhrif á svarið. Þannig, með því að nota einfalda tvíundarleit, finnast færibreyta eða nokkrar faldar breytur sem höfðu áhrif á svarið og geta því verið til.

Kostir:

• Mikill hraði vegna tvíundarleitar;
• Stuðningur við GET/POST breytur, svo og færibreytur í formi JSON;

Viðbótin fyrir Burp Suite virkar á svipaðan hátt - param-miner, sem er líka mjög gott til að finna faldar HTTP breytur. Við munum segja þér meira um það í væntanlegri grein um Burp og viðbætur þess.

LinkFinder

LinkFinder — Python handrit til að leita að tenglum í JavaScript skrám. Gagnlegt til að finna falda eða gleymda endapunkta/slóðir í vefforriti.

Kostir:

• Hratt;
• Það er sérstakt viðbót fyrir Chrome byggt á LinkFinder.

.

Gallar:

• Óþægileg lokaniðurstaða;
• Greinir ekki JavaScript með tímanum;
• Alveg einföld rökfræði til að leita að tenglum - ef JavaScript er á einhvern hátt ruglað, eða tenglana vantar í upphafi og eru myndaðir á virkan hátt, þá mun það ekki geta fundið neitt.

JSParser

JSParser er Python forskrift sem notar Tornado и JSBeautifier til að flokka hlutfallslegar vefslóðir úr JavaScript skrám. Mjög gagnlegt til að greina AJAX beiðnir og setja saman lista yfir API aðferðir sem forritið hefur samskipti við. Virkar á áhrifaríkan hátt í tengslum við LinkFinder.

Kostir:

• Hröð þáttun JavaScript skráa.

sqlmap

sqlmap er líklega eitt frægasta tækið til að greina vefforrit. Sqlmap gerir sjálfvirkan leit og rekstur SQL innspýtingar, vinnur með nokkrum SQL mállýskum og hefur gríðarlegan fjölda mismunandi tækni í vopnabúrinu sínu, allt frá beinum gæsalöppum til flókinna vektora fyrir tímatengda SQL innspýtingu. Að auki hefur það margar aðferðir til frekari hagnýtingar fyrir ýmsar DBMSs, svo það er gagnlegt ekki bara sem skanni fyrir SQL inndælingar, heldur einnig sem öflugt tæki til að nýta þegar fundin SQL innspýting.

Kostir:

• Mikill fjöldi mismunandi tækni og vektora;
• Lágur fjöldi falskra jákvæðra;
• Fullt af fínstillingarmöguleikum, ýmsum aðferðum, miðagagnagrunni, sniðmátum til að komast framhjá WAF;
• Geta til að búa til framleiðsla sorphaugur;
• Margir mismunandi rekstrarhæfileikar, til dæmis fyrir suma gagnagrunna - sjálfvirk hleðsla/afhleðsla skráa, fá getu til að framkvæma skipanir (RCE) og aðra;
• Stuðningur við beina tengingu við gagnagrunninn með því að nota gögn sem fengust við árás;
• Þú getur sent inn textaskrá með niðurstöðum Burp sem inntak - engin þörf á að semja alla skipanalínueiginleikana handvirkt.

Gallar:

• Það er erfitt að sérsníða, til dæmis, að skrifa nokkrar af eigin ávísunum vegna þess að skjölin eru af skornum skammti fyrir þetta;
• Án viðeigandi stillinga framkvæmir það ófullkomið sett af athugunum, sem getur verið villandi.

NoSQLMap

NoSQLMap — Python tól til að gera sjálfvirkan leit og hagnýtingu á NoSQL inndælingum. Það er þægilegt að nota það ekki aðeins í NoSQL gagnagrunnum, heldur einnig beint við endurskoðun vefforrita sem nota NoSQL.

Kostir:

• Eins og sqlmap finnur það ekki aðeins hugsanlegan varnarleysi, heldur athugar það einnig möguleikann á hagnýtingu þess fyrir MongoDB og CouchDB.

Gallar:

• Styður ekki NoSQL fyrir Redis, Cassandra, þróun er í gangi í þessa átt.

oxml_xxe

oxml_xxe — tól til að fella XXE XML hetjudáð inn í ýmsar gerðir skráa sem nota XML sniðið í einhverri mynd.

Kostir:

• Styður mörg algeng snið eins og DOCX, ODT, SVG, XML.

Gallar:

• Stuðningur við PDF, JPEG, GIF er ekki að fullu útfærður;
• Býr aðeins til eina skrá. Til að leysa þetta vandamál geturðu notað tólið docem, sem getur búið til mikinn fjölda hleðsluskráa á mismunandi stöðum.

Ofangreind tól gera frábært starf við að prófa XXE þegar þú hleður skjölum sem innihalda XML. En mundu líka að XML snið meðhöndlarar má finna í mörgum öðrum tilfellum, til dæmis er hægt að nota XML sem gagnasnið í stað JSON.

Þess vegna mælum við með því að þú fylgist með eftirfarandi geymslu, sem inniheldur mikinn fjölda mismunandi farms: PayloadsAllTheThings.

tplmap

tplmap - Python tól til að bera kennsl á og nýta sjálfkrafa veikleika Server-Side Template Injection; það hefur stillingar og fána svipað og sqlmap. Notar nokkrar mismunandi aðferðir og vektora, þar á meðal blind innspýting, og hefur einnig tækni til að keyra kóða og hlaða/hlaða upp handahófskenndum skrám. Að auki hefur hann í vopnabúrinu tækni fyrir tugi mismunandi sniðmátvéla og nokkrar aðferðir til að leita að eval()-líkum kóðainnspýtingum í Python, Ruby, PHP, JavaScript. Ef vel tekst til opnar það gagnvirka leikjatölvu.

Kostir:

• Mikill fjöldi mismunandi tækni og vektora;
• Styður margar sniðmátsflutningsvélar;
• Fullt af rekstrartækni.

CeWL

CeWL - orðabókaframleiðandi í Ruby, búinn til til að draga einstök orð úr tiltekinni vefsíðu, fylgir tenglum á síðunni að tilteknu dýpi. Síðar er hægt að nota samansafnaða orðabók með einstökum orðum til að knýja fram lykilorð á þjónustu eða skepna skrár og möppur á sömu vefsíðu, eða til að ráðast á kjötkássa sem myndast með því að nota hashcat eða John the Ripper. Gagnlegt þegar þú setur saman „markmið“ lista yfir hugsanleg lykilorð.

Kostir:

• Auðvelt í notkun.

Gallar:

• Þú þarft að vera varkár með leitardýptina til að fanga ekki auka lén.

Veikpassi

Veikpassi - þjónusta sem inniheldur margar orðabækur með einstökum lykilorðum. Einstaklega gagnlegt fyrir ýmis verkefni sem tengjast sprungu lykilorðs, allt frá einföldum netafls reikninga á miðaþjónustu, til ótengdrar brute force móttekinna kjötkássa með því að nota hasskatt eða John The Ripper. Það inniheldur um 8 milljarða lykilorð á bilinu 4 til 25 stafir að lengd.

Kostir:

• Inniheldur bæði sérstakar orðabækur og orðabækur með algengustu lykilorðunum - þú getur valið ákveðna orðabók eftir þínum þörfum;
• Orðabækur eru uppfærðar og endurnýjaðar með nýjum lykilorðum;
• Orðabækur eru flokkaðar eftir skilvirkni. Þú getur valið valkostinn fyrir bæði hraðvirkt netaflið og ítarlegt val á lykilorðum úr umfangsmikilli orðabók með nýjustu leka;
• Það er til reiknivél sem sýnir tímann sem það tekur að nota lykilorð á búnaðinum þínum.

Okkur langar að láta verkfæri fyrir CMS athuganir fylgja með í sérstökum hópi: WPScan, JoomScan og AEM tölvusnápur.

AEM_hacker

AEM tölvusnápur er tæki til að bera kennsl á veikleika í Adobe Experience Manager (AEM) forritum.

Kostir:

• Getur borið kennsl á AEM umsóknir af listanum yfir vefslóðir sem sendar hafa verið inn í inntak þess;
• Inniheldur forskriftir til að fá RCE með því að hlaða JSP skel eða nýta SSRF.

JoomScan

JoomScan - Perl tól til að gera sjálfvirkan greiningu á veikleikum þegar Joomla CMS er notað.

Kostir:

• Geta fundið uppsetningargalla og vandamál með stjórnunarstillingar;
• Listar Joomla útgáfur og tengda veikleika, á svipaðan hátt fyrir einstaka íhluti;
• Inniheldur meira en 1000 hetjudáð fyrir Joomla hluti;
• Framleiðsla lokaskýrslna á texta- og HTML-sniði.

WPScan

WPScan - tól til að skanna WordPress síður, það hefur veikleika í vopnabúrinu bæði fyrir WordPress vélina sjálfa og fyrir sum viðbætur.

Kostir:

• Fær um að skrá ekki aðeins óörugg WordPress viðbætur og þemu, heldur einnig að fá lista yfir notendur og TimThumb skrár;
• Getur framkvæmt brute force árásir á WordPress síður.

Gallar:

• Án viðeigandi stillinga framkvæmir það ófullkomið sett af athugunum, sem getur verið villandi.

Almennt séð kjósa mismunandi fólk mismunandi verkfæri til vinnu: þau eru öll góð á sinn hátt og það sem einum líkar hentar kannski alls ekki öðrum. Ef þú heldur að við höfum á ósanngjarnan hátt hunsað eitthvað gott gagn, skrifaðu um það í athugasemdunum!

Heimild: www.habr.com