סקירה של כלים חינמיים לבדיקת משאבי אינטרנט ועוד v2

לפני זמן מה כתבתי על זה, אבל קצת דל וכאוטי. לאחר מכן החלטתי להרחיב את רשימת הכלים בסקירה, להוסיף מבנה למאמר ולקחת בחשבון ביקורת (תודה רבה שמאלי לייעוץ) ושלח אותו לתחרות ב-SecLab (ופורסם קשר, אבל מכל הסיבות הברורות אף אחד לא ראה אותה). התחרות הסתיימה, התוצאות פורסמו ובמצפון נקי אוכל לפרסם אותה (הכתבה) ב-Habré.

יישום אינטרנט חינם Pentester Tools

במאמר זה אדבר על הכלים הפופולריים ביותר ל-pentesting (מבחני חדירה) של יישומי אינטרנט באמצעות אסטרטגיית "הקופסה השחורה".
לשם כך, נבחן כלי עזר שיעזרו בסוג זה של בדיקות. שקול את קטגוריות המוצרים הבאות:

1. סורקי רשת
2. סורקי פרצות סקריפט אינטרנט
3. ניצול
4. אוטומציה של הזרקות
5. מאפי באגים (סניפרים, פרוקסי מקומיים וכו')

לחלק מהמוצרים יש "אופי" אוניברסלי, אז אני אסווג אותם בקטגוריה שבה יש להם אоתוצאה טובה יותר (דעה סובייקטיבית).

סורקי רשת.

המשימה העיקרית היא לגלות שירותי רשת זמינים, להתקין את הגרסאות שלהם, לקבוע את מערכת ההפעלה וכו'.

Nmap
Nmap ("מפה רשת") הוא כלי חינמי וקוד פתוח לניתוח רשת וביקורת אבטחת מערכות. מתנגדים אלימים של הקונסולה יכולים להשתמש ב-Zenmap, שהוא GUI עבור Nmap.
זה לא רק סורק "חכם", זה כלי רציני להרחבה (אחת ה"תכונות יוצאות הדופן" היא נוכחות של סקריפט לבדיקת צומת עבור נוכחות של תולעת "Stuxnet" (מוזכר כאן). דוגמה לשימוש טיפוסי:

nmap -A -T4 localhost

-A לזיהוי גרסאות מערכת ההפעלה, סריקת סקריפטים ומעקב
-הגדרת בקרת זמן T4 (יותר מהיר יותר, מ-0 עד 5)
localhost - מארח יעד
משהו יותר קשוח?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

זוהי קבוצה של אפשרויות מפרופיל "סריקה מקיפה איטית" ב-Zenmap. זה לוקח די הרבה זמן להשלים, אבל בסופו של דבר מספק מידע מפורט יותר שניתן לגלות על מערכת היעד. מדריך עזרה ברוסית, אם תחליט להעמיק, אני ממליץ גם לתרגם את המאמר מדריך למתחילים ל-Nmap.
Nmap קיבלה סטטוס "מוצר אבטחה של השנה" ממגזינים וקהילות כגון Linux Journal, Info World, LinuxQuestions.Org ו-Codetalker Digest.
נקודה מעניינת, Nmap ניתן לראות בסרטים "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" ו אחרים.

IP-Tools
IP-Tools - מעין קבוצה של כלי עזר שונים ברשת, מגיע עם GUI, "מוקדש" למשתמשי Windows.
סורק יציאות, משאבים משותפים (מדפסות/תיקיות משותפות), WhoIs/Finger/ Lookup, לקוח telnet ועוד הרבה יותר. פשוט כלי נוח, מהיר ופונקציונלי.

אין טעם מיוחד לשקול מוצרים אחרים, שכן יש הרבה כלי עזר בתחום זה ולכולם עקרונות פעולה ופונקציונליות דומים. ובכל זאת, nmap נשאר הנפוץ ביותר בשימוש.

סורקי פרצות סקריפט אינטרנט

מנסה למצוא נקודות תורפה פופולריות (SQL inj, XSS, LFI/RFI וכו') או שגיאות (לא נמחקו קבצים זמניים, אינדקס ספריות וכו')

Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner - מהקישור אתה יכול לראות שזהו סורק xss, אבל זה לא לגמרי נכון. הגרסה החינמית, הזמינה כאן, מספקת די הרבה פונקציונליות. בדרך כלל, האדם שמפעיל את הסורק הזה בפעם הראשונה ומקבל דיווח על המשאב שלו בפעם הראשונה חווה הלם קל, ותבין למה ברגע שאתה עושה זאת. זהו מוצר חזק מאוד לניתוח כל מיני פגיעויות באתר ועובד לא רק עם אתרי PHP הרגילים, אלא גם בשפות אחרות (אם כי ההבדל בשפה אינו אינדיקטור). אין טעם מיוחד בתיאור ההוראות, שכן הסורק פשוט "קולט" את פעולות המשתמש. משהו דומה ל"הבא, הבא, הבא, מוכן" בהתקנת תוכנה טיפוסית.

ניקטו
ניקטו זהו סורק אינטרנט בקוד פתוח (GPL). מבטל עבודה ידנית שגרתית. מחפש באתר היעד סקריפטים שלא נמחקו (כמה test.php, index_.php וכו'), כלי ניהול מסד נתונים (/phpmyadmin/, /pma וכדומה) וכו', כלומר בודק את המשאב לאיתור השגיאות הנפוצות ביותר נגרם בדרך כלל על ידי גורמים אנושיים.
בנוסף, אם הוא מוצא איזה סקריפט פופולרי, הוא בודק אותו לאיתור ניצולים שפורסמו (שנמצאים במסד הנתונים).
מדווח על שיטות "לא רצויות" זמינות כגון PUT ו-TRACE
וכולי. זה מאוד נוח אם אתה עובד כמבקר ומנתח אתרי אינטרנט כל יום.
מבין המינוסים, ברצוני לציין את האחוז הגבוה של תוצאות חיוביות שגויות. לדוגמה, אם האתר שלך תמיד נותן את השגיאה הראשית במקום שגיאת 404 (מתי היא אמורה להתרחש), אז הסורק יגיד שהאתר שלך מכיל את כל הסקריפטים ואת כל הפגיעויות ממסד הנתונים שלו. בפועל, זה לא קורה כל כך הרבה, אבל למען האמת, הרבה תלוי במבנה האתר שלך.
שימוש קלאסי:

./nikto.pl -host localhost

אם אתה צריך להיות מורשה באתר, אתה יכול להגדיר קובץ Cookie בקובץ nikto.conf, המשתנה STATIC-COOKIE.

ויקטו
ויקטו — Nikto עבור Windows, אך עם כמה תוספות, כגון לוגיקה "מטושטשת" בעת בדיקת קוד לאיתור שגיאות, שימוש ב-GHDB, השגת קישורים ותיקיות משאבים, ניטור בזמן אמת של בקשות/תגובות HTTP. Wikto כתוב ב-C# ודורש מסגרת NET.

דלג
דלג - סורק פגיעות אינטרנט מ מיכל זלבסקי (ידוע בשם lcamtuf). כתוב ב-C, חוצה פלטפורמות (Win דורש Cygwin). באופן רקורסיבי (ולמשך זמן רב מאוד, בערך 20~40 שעות, למרות שהפעם האחרונה שזה עבד לי הייתה 96 שעות) הוא סורק את כל האתר ומוצא כל מיני חורי אבטחה. זה גם מייצר הרבה תעבורה (מספר GB נכנס/יוצא). אבל כל האמצעים טובים, במיוחד אם יש לך זמן ומשאבים.
שימוש אופייני:

./skipfish -o /home/reports www.example.com

בתיקייה "דוחות" יהיה דוח ב-html, דוגמה.

w3af
w3af - מסגרת תקיפה וביקורת של יישומי אינטרנט, סורק פגיעות אינטרנט בקוד פתוח. יש לו GUI, אבל אתה יכול לעבוד מהמסוף. ליתר דיוק, זה מסגרת עם חבורה של תוספים.
אפשר לדבר על היתרונות שלו הרבה זמן, עדיף לנסות את זה :] עבודה אופיינית איתו מסתכמת בבחירת פרופיל, ציון יעד ולמעשה, השקתו.

Mantra Security Framework
המנטרה הוא חלום שהתגשם. אוסף של כלי אבטחת מידע חינמיים ופתוחים המובנים בדפדפן אינטרנט.
שימושי מאוד בעת בדיקת יישומי אינטרנט בכל השלבים.
השימוש מסתכם בהתקנה והפעלה של הדפדפן.

למעשה, יש הרבה כלי עזר בקטגוריה זו ודי קשה לבחור רשימה ספציפית מהם. לרוב, כל פנטסטר בעצמו קובע את סט הכלים שהוא צריך.

ניצול

לניצול אוטומטי ונוח יותר של נקודות תורפה, ניצול נכתב בתוכנות ובסקריפטים, שצריך להעביר רק פרמטרים על מנת לנצל את חור האבטחה. ויש מוצרים שמבטלים את הצורך בחיפוש ידני אחר ניצולים, ואפילו ליישם אותם תוך כדי תנועה. כעת נדון בקטגוריה זו.

מסגרת Metasploit
מסגרת Metasploit® - סוג של מפלצת בעסק שלנו. הוא יכול לעשות כל כך הרבה שההוראות יכסו כמה מאמרים. נסתכל על ניצול אוטומטי (nmap + metasploit). השורה התחתונה היא כזו: Nmap תנתח את הפורט שאנו צריכים, יתקין את השירות, ו-metasploit ינסה להחיל עליו ניצולים על סמך מחלקת השירות (ftp, ssh וכו'). במקום הוראות טקסט, אני אוסיף סרטון, די פופולרי בנושא autopwn

או שאנחנו יכולים פשוט להפוך את פעולת הניצול שאנחנו צריכים לאוטומטי. לְמָשָׁל:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run

למעשה, היכולות של מסגרת זו הן נרחבות מאוד, אז אם תחליט להעמיק, עבור אל קשר

ארמיטאג
ארמיטאג - OVA של ה-GUI של ז'אנר הסייבר-פאנק עבור Metasploit. מדמיין את היעד, ממליץ על ניצול ומספק תכונות מתקדמות של המסגרת. בכלל, למי שאוהבת שהכל ייראה יפה ומרשים.
שידור מסך:

Tenable Nessus®
סורק הפגיעות של Tenable Nessus® - יכול לעשות הרבה דברים, אבל אחת היכולות שאנחנו צריכים ממנו היא לקבוע לאילו שירותים יש ניצול. גרסה חינמית של המוצר "בבית בלבד"

Использование:

• הורד (עבור המערכת שלך), מותקן, נרשם (המפתח נשלח למייל שלך).
• הפעיל את השרת, הוסיף את המשתמש ל-Nessus Server Manager (לחצן ניהול משתמשים)
• אנחנו הולכים לכתובת

  https://localhost:8834/

  וקבל את לקוח הפלאש בדפדפן

• סריקות -> הוסף -> מלאו את השדות (על ידי בחירת פרופיל הסריקה המתאים לנו) ולחצו על סרוק

לאחר זמן מה, דוח הסריקה יופיע בלשונית דוחות
כדי לבדוק את הפגיעות המעשית של שירותים לניצול, אתה יכול להשתמש במסגרת Metasploit המתוארת לעיל או לנסות למצוא ניצול (לדוגמה, ב- Explot-db, סערת מנות, חיפוש מפוצץ וכו') ולהשתמש בו באופן ידני נגד המערכת שלה
IMHO: מגושם מדי. הבאתי אותו כאחד המובילים בכיוון הזה של תעשיית התוכנה.

אוטומציה של הזרקות

רבים מסורקי ה-sec של אפליקציות האינטרנט מחפשים זריקות, אבל הם עדיין רק סורקים כלליים. ויש כלי עזר שעוסקים במיוחד בחיפוש וניצול זריקות. נדבר עליהם עכשיו.

sqlmap
sqlmap - כלי קוד פתוח לחיפוש וניצול הזרקות SQL. תומך בשרתי מסדי נתונים כגון: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
השימוש האופייני מסתכם בשורה:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
יש מספיק מדריכים, כולל ברוסית. התוכנה מקלה מאוד על עבודתו של פנטסטר בעבודה על תחום זה.
אני אוסיף הדגמת וידאו רשמית:

bsqlbf-v2
bsqlbf-v2 - תסריט perl, כוח גס להזרקות SQL "עיוורות". זה עובד גם עם ערכי מספר שלמים ב-url וגם עם ערכי מחרוזת.
מסד נתונים נתמך:

• MS-SQL
• MySQL
• PostgreSQL
• אורקל

דוגמה לשימוש:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

-כתובת אתר www.somehost.com/blah.php?u=5 - קישור עם פרמטרים
-עיוור u - פרמטר להזרקה (כברירת מחדל האחרון נלקח מסרגל הכתובות)
-sql "בחר שם טבלה מתוך מגבלה של imformation_schema.tables 1 היסט 0" - בקשתנו השרירותית למסד הנתונים
-מסד נתונים 1 - שרת מסד נתונים: MSSQL
-סוג 1 - סוג ההתקפה, הזרקה "עיוורת", המבוססת על תגובות True and Error (לדוגמה, שגיאות תחביר)

מאפי באגים

כלים אלו משמשים בעיקר מפתחים כאשר יש להם בעיות עם תוצאות ביצוע הקוד שלהם. אבל הכיוון הזה שימושי גם לבדיקה, כאשר אנו יכולים להחליף את הנתונים הדרושים לנו תוך כדי תנועה, לנתח את מה שמגיע בתגובה לפרמטרי הקלט שלנו (לדוגמה, במהלך ה-fuzzing) וכו'.

סוויטת ברפ
סוויטת ברפ - סט של כלי עזר המסייעים בבדיקות חדירה. זה באינטרנט ביקורת טובה ברוסית מ-Raz0r (אם כי ל-2008).
הגרסה החינמית כוללת:

• Burp Proxy הוא פרוקסי מקומי המאפשר לך לשנות בקשות שכבר נוצרו מהדפדפן
• Burp Spider - עכביש, מחפש קבצים וספריות קיימים
• Burp Repeater - שליחת בקשות HTTP באופן ידני
• רצף גיהוק - ניתוח ערכים אקראיים בצורות
• Burp Decoder הוא מקודד-מפענח סטנדרטי (html, base64, hex, וכו'), אשר ישנם אלפים, אשר ניתן לכתוב במהירות בכל שפה
• Burp Comparer - רכיב השוואת מחרוזות

באופן עקרוני, חבילה זו פותרת כמעט את כל הבעיות הקשורות לתחום זה.

כַּנָר
כַּנָר — Fiddler הוא פרוקסי לניפוי באגים שמתעד את כל תעבורת ה-HTTP(S). מאפשר לך לבחון את התעבורה הזו, להגדיר נקודות שבירה ו"לשחק" עם נתונים נכנסים או יוצאים.

יש גם כבש אש, מפלצת Wireshark ואחרים, הבחירה היא בידי המשתמש.

מסקנה

באופן טבעי, לכל פנטסטר יש ארסנל משלו ומערכת כלי עזר משלו, מכיוון שפשוט יש הרבה מהם. ניסיתי לרשום כמה מהנוחים והפופולריים שבהם. אבל כדי שכל אחד יוכל להכיר כלי עזר אחרים בכיוון זה, אספק קישורים למטה.

רשימות שונות של סורקים וכלי עזר

• כלי אבטחה ופריצה
• 100 כלי אבטחת הרשת המובילים
• 10 סורקי הפגיעות באינטרנט.
• 10 סורקי הפגיעות המובילים
• OWASP 10 הכלים והטקטיקות המובילות
• סורקי אבטחת יישומים מבוססי אינטרנט
• רשימת סורקי אבטחת יישומי אינטרנט מאת WebAppSec
• כלי עזר של Infosec בפורום RDot
• סורקי פגיעות (ויקיפדיה)

הפצות לינוקס שכבר כוללות חבורה של כלי עזר שונים

• BackTrack
• פנטו
• חלש
• Backbuntu

עדכון: תיעוד של BurpSuite ברוסית מצוות "Hack4Sec" (נוסף אנטון קוזמין)

נ.ב. אנחנו לא יכולים לשתוק לגבי XSpider. לא משתתף בסקירה, למרות שהיא shareware (גיליתי כששלחתי את המאמר ל-SecLab, בעצם בגלל זה (לא ידע, וחוסר בגרסה האחרונה 7.8) ולא כללתי את זה בכתבה). ובתיאוריה, תוכננה סקירה שלו (יש לי מבחנים קשים מוכנים לזה), אבל אני לא יודע אם העולם יראה את זה.

PPS חלק מהחומר מהמאמר ישמש למטרה המיועדת לו בדוח הקרוב ב- CodeFest 2012 במדור QA, שיכיל כלים שלא הוזכרו כאן (חינם כמובן), וכן האלגוריתם, באיזה סדר להשתמש במה, לאיזו תוצאה לצפות, באילו תצורות להשתמש ועוד כל מיני רמזים וטריקים מתי עובד (אני חושב על הדו"ח כמעט כל יום, אנסה לספר לך את כל הטוב על הנושא)
אגב, היה שיעור על המאמר הזה ב פתח את ימי InfoSec (תייגו על Habré, сайт), פחית לשדוד פרות להסתכל חומרים.

מקור: www.habr.com