Wapiti - サイトの脆弱性を独自にチェックする

過去に статье 私たちは話しました ネメシダ WAF 無料 - Web サイトと API をハッカー攻撃から保護するための無料ツール。このツールでは、人気のある脆弱性スキャナーをレビューすることにしました。 ワピチ.

Web サイトの脆弱性をスキャンすることは必要な手段であり、ソース コードの分析と組み合わせることで、侵害の脅威に対するセキュリティ レベルを評価できます。 専用ツールを使用して Web リソースをスキャンできます。

Nikto、W3af (Python 2.7 で書かれており、サポートが終了しました)、または Arachni (XNUMX 月以降サポートが終了しました) は、無料セグメントで提供される最も人気のあるソリューションです。 もちろん、他にもあります。たとえば、Wapiti に焦点を当てることにしました。

Wapiti は次のタイプの脆弱性に対処します。

• ファイル拡張 (ローカルとリモート、fopen、readfile);
• インジェクション (PHP / JSP / ASP / SQL インジェクションおよび XPath インジェクション);
• XSS (クロスサイト スクリプティング) (反射的および永続的)。
• コマンド (eval()、system()、passtru()) の検出と実行。
• CRLF インジェクション (HTTP 応答分割、セッション固定)。
• XXE (XML 外部エンティティ) 埋め込み。
• SSRF (サーバーサイドリクエストフォージェリ);
• 既知の潜在的に危険なファイルの使用 (Nikto データベースのおかげで)。
• バイパスできる弱い .htaccess 構成。
• 機密情報（ソースコードの漏洩）を明らかにするバックアップファイルの存在。
• 砲弾ショック;
• オープンリダイレクト。
• 解決できる非標準の HTTP メソッド (PUT)。

特徴：

• HTTP、HTTPS、SOCKS5 プロキシのサポート。
• いくつかの方法を使用した認証: Basic、Digest、Kerberos、または NTLM。
• スキャン領域 (ドメイン、フォルダー、ページ、URL) を制限する機能。
• URL 内のパラメータの XNUMX つを自動的に削除します。
• 無限のスキャン ループに対する複数の予防措置 (例: ifor、パラメーターの値の制限)。
• URL を検査するための優先順位を設定する機能 (URL がスキャン領域にない場合でも)。
• 一部の URL をスキャンと攻撃から除外する機能 (例: URL ログアウト)。
• Cookie をインポートします (wapiti-getcookie ツールを使用して取得します)。
• SSL 証明書検証をアクティブ化/非アクティブ化する機能。
• JavaScript から URL を抽出する機能 (非常に単純な JS インタープリター)。
• HTML5 との対話。
• クローラーの動作と制限を管理するためのいくつかのオプション。
• スキャンプロセスの最大時間を設定します。
• カスタム HTTP ヘッダーを追加するか、カスタム ユーザー エージェントを設定します。

追加機能

• さまざまな形式 (HTML、XML、JSON、TXT) で脆弱性レポートを作成します。
• スキャンまたは攻撃の一時停止と再開 (SQLite3 データベースを使用したセッション メカニズム)。
• 脆弱性を強調するための端末のバックライト。
• さまざまなレベルのロギング。
• 攻撃モジュールを有効/無効にする迅速かつ簡単な方法。

インストール

Wapiti の現在のバージョンは 2 つの方法でインストールできます。

• 公式からソースをダウンロード сайта 事前に Python3 をインストールした状態で、インストール スクリプトを実行します。
• pip3 install wapiti3 コマンドを使用します。

この後、ワピティは準備が整います。

ツールの使用

Wapiti の動作を実証するために、Web アプリケーションのさまざまな脆弱性 (インジェクション、XSS、LFI/RFI) およびその他の欠点を含む、特別に用意されたスタンド sites.vulns.pentestit.ru (内部リソース) を使用します。

この情報は情報提供のみを目的として提供されています。 法律を破るな！

スキャナーを起動する基本的なコマンド:

# wapiti -u <target> <options>

同時に、膨大な数の起動オプションに関する詳細なヘルプが用意されています。次に例を示します。

- 範囲 - 応用分野
クロール URL とともにスコープ パラメーターを指定すると、単一のページとサイト上で見つかるすべてのページの両方を指定して、サイトのクロール領域を調整できます。

-s и -x — 特定の URL を追加または削除するオプション。 これらのオプションは、クロール プロセス中に特定の URL を追加または削除する必要がある場合に役立ちます。

- スキップ — このキーで指定されたパラメータはスキャンされますが、攻撃されません。 スキャン中に除外するのが最適な危険なパラメータがある場合に役立ちます。

--verify-ssl — 証明書の検証を有効または無効にします。
Wapiti スキャナはモジュール式です。 ただし、スキャナーの実行中に自動的に接続されるモジュールなど、特定のモジュールを起動するには、-m スイッチを使用し、必要なモジュールをカンマで区切ってリストする必要があります。 キーが使用されない場合、すべてのモジュールがデフォルトで動作します。 最も単純なバージョンでは次のようになります。

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

この使用例は、ターゲットをスキャンするときに SQL、XSS、および XXE モジュールのみを使用することを意味します。 さらに、目的の方法に応じてモジュールの操作をフィルタリングできます。 例えば -m “xss: 取得、blindsql: post、xxe: post”。 この場合、モジュールは xss GET メソッドとモジュールを使用して送信されたリクエストに適用されます。 ブリブドSQL - POSTリクエストなどちなみに、リストに含まれていたモジュールがスキャン中に不要だった場合、または非常に長い時間がかかる場合は、Ctrl+C の組み合わせを押して対話型メニューで対応する項目を選択し、現在のモジュールの使用をスキップできます。

Wapiti は、キーを使用したプロキシ経由のリクエストの受け渡しをサポートします -p パラメータを介したターゲットサイトでの認証 -a。 認証タイプを指定することもできます。 基本, ダイジェスト, Kerberos и NTLM。 最後の XNUMX つは追加のモジュールのインストールが必要になる場合があります。 さらに、リクエストに任意のヘッダー (任意のヘッダーを含む) を挿入できます。 ユーザエージェント）およびはるかに。

認証を使用するには、ツールを使用できます ワピティゲットクッキー。 その助けを借りて私たちは形成します クッキー、Wapiti がスキャンするときに使用します。 形成 クッキー 次のコマンドで完了します。

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

インタラクティブに作業しながら、質問に答え、ログインやパスワードなどの必要な情報を指定します。

出力は JSON 形式のファイルです。 別のオプションは、パラメータを通じて必要な情報をすべて追加することです。 -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

結果は次のようになります。

スキャナーの主な機能を考慮した場合、この場合の Web アプリケーションをテストするための最終リクエストは次のとおりでした。

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

他のパラメータの中では、次のとおりです。

-f и -o — レポートを保存するための形式とパス。

-m — すべてのモジュールを接続することはお勧めできません。 テスト時間とレポートのサイズに影響します。

- 色 — Wapiti 自体によると、発見された脆弱性をその重大度に応じて強調表示します。

-c - ファイルを使用する クッキー、を使用して生成 ワピティゲットクッキー;

- 範囲 — 攻撃対象の選択。 オプションの選択 フォルダ すべての URL は、ベースの URL から順にクロールされ、攻撃されます。 ベース URL にはスラッシュが必要です (ファイル名は不要です)。

--フラッシュセッション — 以前の結果が考慮されない繰り返しスキャンが可能になります。

-A - 自分の ユーザエージェント;

-p — 必要に応じて、プロキシ サーバーのアドレス。

レポートについて少し

スキャン結果は、検出されたすべての脆弱性に関する詳細なレポートの形式で HTML ページ形式で、明確で読みやすい形式で表示されます。 レポートには、見つかった脆弱性のカテゴリと数、その説明、リクエスト、コマンドが示されます。 curl 閉じ方のヒントも。 ナビゲーションを容易にするために、カテゴリ名にリンクが追加され、クリックするとそのカテゴリに移動できます。

このレポートの重大な欠点は、Web アプリケーション マップ自体が存在しないことです。Web アプリケーション マップがないと、すべてのアドレスとパラメータが分析されたかどうかが明確になりません。 誤検知の可能性もあります。 私たちの場合、レポートには「バックアップ ファイル」と「潜在的に危険なファイル」が含まれます。 サーバー上にそのようなファイルが存在しなかったため、その数は現実のものではありません。

おそらく、正しく動作しないモジュールは時間の経過とともに修正されるでしょう。 このレポートのもう XNUMX つの欠点は、見つかった脆弱性の色付け (重大度に応じて) が欠如していること、または少なくともカテゴリーに分類されていないことです。 見つかった脆弱性の重大性を間接的に理解できる唯一の方法は、パラメータを使用することです。 - 色 スキャン中に、見つかった脆弱性がさまざまな色で表示されます。

しかし、報告書自体にはそのような色付けは示されていない。

脆弱性

SQLi

スキャナーは部分的に SQLi 検索に対応しました。 認証が必要ないページで SQL の脆弱性を検索する場合、問題は発生しません。

有効な方法を使用しても、認証後にのみアクセスできるページの脆弱性を見つけることはできませんでした。 クッキー、ほとんどの場合、認証が成功した後、セッションは「ログアウト」され、 クッキー 無効となります。 認証解除機能がこの手順の処理を担当する別個のスクリプトとして実装されている場合、-x パラメーターを使用して認証解除機能を完全に除外し、それによってトリガーされるのを防ぐことができます。 そうしないと、その処理を除外できなくなります。 これは特定のモジュールの問題ではなく、ツール全体の問題ですが、このニュアンスのため、閉じられたリソース領域での複数のインジェクションを検出できませんでした。

XSS

スキャナーは指定されたタスクに完璧に対処し、準備されたすべての脆弱性を検出しました。

LFI/RFI

スキャナーは、根本的な脆弱性をすべて発見しました。

一般に、誤検知や脆弱性の欠落にもかかわらず、Wapiti は無料ツールとして、かなり良好なパフォーマンス結果を示しています。 いずれにせよ、スキャナーは非常に強力で、柔軟性があり、多機能であること、そして最も重要なことに、スキャナーは無料であるため、管理者や開発者が Web のセキュリティ ステータスに関する基本情報を取得するために使用する権利があることを認識する価値があります。応用。

健康を維持し、保護されてください!

出所： habr.com