pirembagan bab alat migunani kanggo pentesters. Ing artikel anyar kita bakal ndeleng alat kanggo nganalisa keamanan aplikasi web.
kolega kita Aku wis nindakake kaya iki udakara pitung taun kepungkur. Apike kanggo ndeleng alat sing wis nahan lan nguatake posisi, lan endi sing wis ilang ing latar mburi lan saiki wis jarang digunakake.
Elinga yen iki uga kalebu Burp Suite, nanging bakal ana publikasi sing kapisah babagan iki lan plugin sing migunani.
Isi:
Nglumpukake
- alat Go kanggo nggoleki lan enumerasi subdomain DNS lan pemetaan jaringan eksternal. Amass minangka proyek OWASP sing digawe kanggo nuduhake apa organisasi ing Internet katon kanggo pengamat njaba. Amass entuk jeneng subdomain kanthi macem-macem cara; alat kasebut nggunakake enumerasi rekursif subdomain lan telusuran sumber terbuka.
Kanggo nemokake segmen jaringan sing gegandhengan lan nomer sistem otonom, Amass nggunakake alamat IP sing dipikolehi sajrone operasi. Kabeh informasi sing ditemokake digunakake kanggo mbangun peta jaringan.
Pros:
- Teknik ngumpulake informasi kalebu:
* DNS - telusuran kamus subdomain, subdomain bruteforce, telusuran cerdas nggunakake mutasi adhedhasar subdomain sing ditemokake, pitakon DNS mbalikke lan telusuran server DNS sing bisa nggawe panjaluk transfer zona (AXFR);* Panelusuran sumber terbuka - Takon, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Telusuri database sertifikat TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Nggunakake API mesin telusuran - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Telusuri arsip web Internet: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Integrasi karo Maltego;
- Nyedhiyakake jangkoan paling lengkap babagan tugas nggoleki subdomain DNS.
Cons:
- Ati-ati karo amass.netdomains - bakal nyoba ngubungi saben alamat IP ing infrastruktur sing diidentifikasi lan entuk jeneng domain saka telusuran DNS mbalikke lan sertifikat TLS. Iki minangka teknik "profil dhuwur", bisa mbukak kegiatan intelijen sampeyan ing organisasi sing diselidiki.
- Konsumsi memori sing dhuwur, bisa nganggo nganti 2 GB RAM ing setelan sing beda-beda, sing ora ngidini sampeyan mbukak alat iki ing méga ing VDS sing murah.
Altdns
- alat Python kanggo ngumpulake kamus kanggo enumerasi subdomain DNS. Ngidini sampeyan ngasilake akeh varian subdomain nggunakake mutasi lan permutasi. Kanggo iki, tembung sing asring ditemokake ing subdomain digunakake (contone: test, dev, staging), kabeh mutasi lan permutasi ditrapake kanggo subdomain sing wis dikenal, sing bisa dikirim menyang input Altdns. Output minangka dhaptar variasi subdomain sing bisa ana, lan dhaptar iki mengko bisa digunakake kanggo DNS brute force.
Pros:
- Bisa uga karo set data gedhe.
aquatone
- sadurunge luwih dikenal minangka alat liyane kanggo nggoleki subdomains, nanging penulis dhewe nilar iki ing sih saka Amass kasebut. Saiki aquatone wis ditulis maneh ing Go lan luwih fokus kanggo pengintaian awal ing situs web. Kanggo nindakake iki, aquatone ngliwati domain sing ditemtokake lan nggoleki situs web ing macem-macem port, sawise iku ngumpulake kabeh informasi babagan situs kasebut lan njupuk gambar. Trep kanggo pengintaian awal cepet situs web, sawise sampeyan bisa milih target prioritas kanggo serangan.
Pros:
- Output nggawe klompok file lan folder sing trep kanggo digunakake nalika nggarap piranti liyane:
* Laporan HTML kanthi gambar sing diklumpukake lan judhul tanggapan sing diklumpukake miturut persamaan;* Berkas karo kabeh URL ing ngendi situs web ditemokake;
* File kanthi statistik lan data kaca;
* Folder kanthi file sing ngemot header respon saka target sing ditemokake;
* Folder kanthi file sing ngemot awak tanggapan saka target sing ditemokake;
* Gambar saka situs web sing ditemokake;
- Ndhukung nggarap laporan XML saka Nmap lan Masscan;
- Nggunakake Chrome/Chromium tanpa sirah kanggo nggawe gambar.
Cons:
- Bisa uga narik kawigatosan sistem deteksi intrusi, saengga mbutuhake konfigurasi.
Gambar dijupuk kanggo salah sawijining versi lawas saka aquatone (v0.5.0), ing ngendi telusuran subdomain DNS ditindakake. Versi lawas bisa ditemokake ing .
MassDNS
minangka alat liyane kanggo nemokake subdomain DNS. Bentenane utamane yaiku nggawe pitakon DNS langsung menyang macem-macem pemecah DNS lan nindakake kanthi cepet.
Pros:
- Cepet - bisa ngrampungake luwih saka 350 ewu jeneng per detik.
Cons:
- MassDNS bisa nyebabake beban sing signifikan ing solvers DNS sing digunakake, sing bisa nyebabake larangan ing server kasebut utawa keluhan menyang ISP sampeyan. Kajaba iku, bakal nyedhiyakake beban gedhe ing server DNS perusahaan, yen dheweke duwe lan yen tanggung jawab kanggo domain sing sampeyan coba ngrampungake.
- Dhaptar solvers saiki wis ketinggalan jaman, nanging yen sampeyan milih solvers DNS sing rusak lan nambah sing anyar sing dikenal, kabeh bakal apik.
Gambar saka aquatone v0.5.0
nsec3map
minangka alat Python kanggo entuk dhaptar lengkap domain sing dilindhungi DNSSEC.
Pros:
- Cepet nemokake host ing zona DNS kanthi jumlah pitakon minimal yen dhukungan DNSSEC diaktifake ing zona kasebut;
- Kalebu plugin kanggo John the Ripper sing bisa digunakake kanggo ngrusak hash NSEC3 sing diasilake.
Cons:
- Akeh kasalahan DNS ora ditangani kanthi bener;
- Ora ana paralelisasi otomatis ngolah cathetan NSEC - sampeyan kudu mbagi ruang jeneng kanthi manual;
- Konsumsi memori sing dhuwur.
Acunetix
- scanner kerentanan web sing ngotomatisasi proses mriksa keamanan aplikasi web. Tes aplikasi kanggo injeksi SQL, XSS, XXE, SSRF lan akeh kerentanan web liyane. Nanging, kaya scanner liyane, macem-macem kerentanan web ora ngganti pentester, amarga ora bisa nemokake rantai kerentanan utawa kerentanan sing rumit ing logika. Nanging kalebu macem-macem kerentanan, kalebu macem-macem CVE, sing bisa dilalekake dening pentester, mula trep banget kanggo mbebasake sampeyan saka pamriksa rutin.
Pros:
- Tingkat positif palsu sing kurang;
- Asil bisa diekspor minangka laporan;
- Nindakake pirang-pirang pemeriksaan kanggo macem-macem kerentanan;
- Pemindaian paralel saka pirang-pirang host.
Cons:
- Ora ana algoritma deduplikasi (Acunetix bakal nganggep kaca sing padha karo fungsine beda, amarga padha mimpin menyang URL sing beda), nanging pangembang lagi nggarap;
- Mbutuhake instalasi ing server web sing kapisah, sing rumit nguji sistem klien kanthi sambungan VPN lan nggunakake pemindai ing bagean terisolasi saka jaringan klien lokal;
- Layanan sing diteliti bisa nggawe gangguan, umpamane, kanthi ngirim akeh banget vektor serangan menyang formulir kontak ing situs kasebut, saéngga nggawe rumit proses bisnis;
- Iki minangka solusi eksklusif lan ora gratis.
Dirsearch
- alat Python kanggo direktori lan file sing meksa kasar ing situs web.
Pros:
- Bisa mbedakake kaca "200 OK" nyata saka kaca "200 OK", nanging kanthi teks "kaca ora ditemokake";
- Dilengkapi kamus praktis sing nduweni keseimbangan sing apik antarane ukuran lan efisiensi telusuran. Ngandhut path standar umum kanggo akeh tumpukan CMS lan teknologi;
- Format kamus dhewe, sing ngidini sampeyan entuk efisiensi lan keluwesan sing apik kanggo ngitung file lan direktori;
- Output sing trep - teks biasa, JSON;
- Bisa nggawe throttling - ngaso ing antarane panjaluk, sing penting kanggo layanan sing ringkih.
Cons:
- Ekstensi kudu dilewati minangka senar, sing ora trep yen sampeyan kudu ngliwati akeh ekstensi bebarengan;
- Kanggo nggunakake kamus sampeyan kudu diowahi rada menyang format kamus Dirsearch kanggo efisiensi maksimal.
wfuzz
- Aplikasi web Python fuzzer. Mbokmenawa salah siji saka phasers web paling misuwur. Prinsip kasebut prasaja: wfuzz ngidini sampeyan ngetung panggonan ing panjalukan HTTP, sing ndadekake paramèter GET/POST phase, header HTTP, kalebu Cookie lan header otentikasi liyane. Ing wektu sing padha, uga trep kanggo gaya kasar direktori lan file sing gampang, sing sampeyan butuh kamus sing apik. Uga nduweni sistem filter fleksibel, sing bisa nyaring tanggapan saka situs web miturut paramèter sing beda, sing ngidini sampeyan entuk asil sing efektif.
Pros:
- Multifungsi - struktur modular, perakitan njupuk sawetara menit;
- Mekanisme nyaring lan fuzzing sing trep;
- Sampeyan bisa phase sembarang cara HTTP, uga sembarang panggonan ing panjalukan HTTP.
Cons:
- Ing pembangunan.
ffuf
- fuzzer web ing Go, digawe ing "gambar lan mirip" wfuzz, ngidini sampeyan ngrusak file, direktori, path URL, jeneng lan nilai parameter GET / POST, header HTTP, kalebu header Host kanggo brute force saka host virtual. wfuzz beda karo sedulure kanthi kecepatan sing luwih dhuwur lan sawetara fitur anyar, umpamane, ndhukung kamus format Dirsearch.
Pros:
- Filter-filter padha karo saringan wfuzz, ngidini sampeyan kanthi fleksibel ngatur gaya brute;
- Ngidini sampeyan ngrusak nilai header HTTP, data panyuwunan POST lan macem-macem bagean URL, kalebu jeneng lan nilai parameter GET;
- Sampeyan bisa nemtokake cara HTTP apa wae.
Cons:
- Ing pembangunan.
gobuster
- alat Go kanggo pengintaian, duwe rong mode operasi. Kapisan digunakake kanggo brute force file lan direktori ing situs web, sing kapindho digunakake kanggo brute force DNS subdomains. Alat kasebut wiwitane ora ndhukung enumerasi rekursif file lan direktori, sing, mesthi, ngirit wektu, nanging ing sisih liya, pasukan kasar saben titik pungkasan anyar ing situs web kudu diluncurake kanthi kapisah.
Pros:
- Kacepetan dhuwur operasi kanggo nggoleki brute force subdomain DNS lan kanggo brute force file lan direktori.
Cons:
- Versi saiki ora ndhukung setelan header HTTP;
- Kanthi gawan, mung sawetara kode status HTTP (200,204,301,302,307) sing dianggep bener.
Arjun
- alat kanggo brute force paramèter HTTP sing didhelikake ing parameter GET/POST, uga ing JSON. Kamus sing dibangun ana 25 tembung, sing dipriksa Ajrun meh 980 detik. Trik kasebut yaiku Ajrun ora mriksa saben parameter kanthi kapisah, nanging mriksa ~ 30 parameter sekaligus lan ndeleng manawa jawabane wis diganti. Yen jawaban wis diganti, dibagi iki 1000 paramèter dadi rong bagéan lan mriksa kang bagean iki mengaruhi jawaban. Mangkono, nggunakake telusuran binar sing prasaja, paramèter utawa sawetara paramèter sing didhelikake ditemokake sing mengaruhi jawaban lan, mula, bisa uga ana.
Pros:
- Kacepetan dhuwur amarga telusuran binar;
- Dhukungan kanggo parameter GET / POST, uga paramèter ing wangun JSON;
Plugin kanggo Burp Suite dianggo kanthi prinsip sing padha - , sing uga apik banget kanggo nemokake paramèter HTTP sing didhelikake. Kita bakal nyritakake babagan iki ing artikel sing bakal teka babagan Burp lan plugins.
LinkFinder
— script Python kanggo nggoleki pranala ing file JavaScript. Migunani kanggo nemokake titik pungkasan / URL sing didhelikake utawa dilalekake ing aplikasi web.
Pros:
- Cepet;
- Ana plugin khusus kanggo Chrome adhedhasar LinkFinder.
.
Cons:
- Kesimpulan pungkasan sing ora trep;
- Ora nganalisa JavaScript liwat wektu;
- Logika sing cukup prasaja kanggo nggoleki pranala - yen JavaScript kaya-kaya ora bisa ditemokake, utawa pranala kasebut wiwitane ilang lan digawe kanthi dinamis, mula ora bakal bisa nemokake apa-apa.
JSParser
punika script Python sing nggunakake и kanggo parsing URL relatif saka file JavaScript. Banget migunani kanggo ndeteksi panjalukan AJAX lan ngumpulake dhaptar cara API sing aplikasi sesambungan karo. Dianggo kanthi efektif bebarengan karo LinkFinder.
Pros:
- Parsing cepet file JavaScript.
sqlmap
mbokmenawa minangka salah sawijining alat sing paling misuwur kanggo nganalisa aplikasi web. Sqlmap ngotomatisasi telusuran lan operasi injeksi SQL, bisa digunakake karo sawetara dialek SQL, lan duwe macem-macem teknik ing arsenal, wiwit saka kutipan langsung nganti vektor kompleks kanggo injeksi SQL adhedhasar wektu. Kajaba iku, wis akeh Techniques kanggo eksploitasi luwih kanggo macem-macem DBMSs, supaya migunani ora mung minangka scanner kanggo injeksi SQL, nanging uga minangka alat kuat kanggo eksploitasi wis ketemu injeksi SQL.
Pros:
- A nomer akeh Techniques beda lan vektor;
- Jumlah kurang positif palsu;
- Akeh pilihan fine-tuning, macem-macem Techniques, target database, Tamper script kanggo bypassing WAF;
- Kemampuan kanggo nggawe dump output;
- Akeh kemampuan operasional sing beda-beda, contone, kanggo sawetara database - loading / unloading file kanthi otomatis, entuk kemampuan kanggo nglakokake perintah (RCE) lan liya-liyane;
- Dhukungan kanggo sambungan langsung menyang database nggunakake data sing dipikolehi sajrone serangan;
- Sampeyan bisa ngirim file teks kanthi asil Burp minangka input - ora perlu kanthi manual nyipta kabeh atribut baris perintah.
Cons:
- Iku angel kanggo ngatur, contone, kanggo nulis sawetara kir dhewe amarga dokumentasi langka kanggo iki;
- Tanpa setelan sing cocog, nindakake pamriksan sing ora lengkap, sing bisa nyasab.
NoSQLMap
- alat Python kanggo ngotomatisasi telusuran lan eksploitasi injeksi NoSQL. Iku trep kanggo nggunakake ora mung ing database NoSQL, nanging uga langsung nalika audit aplikasi web sing nggunakake NoSQL.
Pros:
- Kaya sqlmap, ora mung nemokake kerentanan potensial, nanging uga mriksa kemungkinan eksploitasi kanggo MongoDB lan CouchDB.
Cons:
- Ora ndhukung NoSQL kanggo Redis, Cassandra, pembangunan lagi ing arah iki.
oxml_xxe
- alat kanggo nanem eksploitasi XXE XML menyang macem-macem jinis file sing nggunakake format XML ing sawetara wangun.
Pros:
- Ndhukung akeh format umum kayata DOCX, ODT, SVG, XML.
Cons:
- Dhukungan kanggo PDF, JPEG, GIF ora ditindakake kanthi lengkap;
- Nggawe mung siji file. Kanggo ngatasi masalah iki, sampeyan bisa nggunakake alat kasebut , sing bisa nggawe file muatan akeh ing macem-macem panggonan.
Utilitas ing ndhuwur nindakake tugas sing apik kanggo nguji XXE nalika ngemot dokumen sing ngemot XML. Nanging uga elinga yen panangan format XML bisa ditemokake ing akeh kasus liyane, contone, XML bisa digunakake minangka format data tinimbang JSON.
Mula, disaranake sampeyan menehi perhatian menyang gudang ing ngisor iki, sing ngemot akeh muatan sing beda: .
tplmap
- alat Python kanggo kanthi otomatis ngenali lan ngeksploitasi kerentanan Injeksi Cithakan Server-Side nduweni setelan lan panji sing padha karo sqlmap. Nggunakake sawetara teknik lan vektor sing beda-beda, kalebu injeksi wuta, lan uga duwe teknik kanggo ngeksekusi kode lan ngemot / ngunggah file sing sewenang-wenang. Kajaba iku, wis ing Techniques arsenal kanggo rolas mesin Cithakan beda lan sawetara Techniques kanggo nelusuri eval () -injeksi kode kaya ing Python, Ruby, PHP, JavaScript. Yen sukses, iku mbukak console interaktif.
Pros:
- A nomer akeh Techniques beda lan vektor;
- Ndhukung akeh mesin rendering cithakan;
- Akeh teknik operasi.
CeWL
- generator kamus ing Ruby, digawe kanggo extract tembung unik saka situs web tartamtu, nderek pranala ing situs menyang ambane tartamtu. Kamus kompilasi saka tembung unik mengko bisa digunakake kanggo brute force sandhi ing layanan utawa file brute force lan direktori ing situs web sing padha, utawa kanggo nyerang hash asil nggunakake hashcat utawa John the Ripper. Migunani nalika ngumpulake dhaptar "target" sandhi potensial.
Pros:
- Gampang digunakake.
Cons:
- Sampeyan kudu ati-ati karo ambane panelusuran supaya ora njupuk domain ekstra.
Weakpass
- layanan sing ngemot akeh kamus kanthi sandhi unik. Migunani banget kanggo macem-macem tugas sing ana gandhengane karo cracking tembung sandhi, wiwit saka akun kasar online sing prasaja ing layanan target, nganti pasukan kasar sing ditampa kanthi nggunakake hash. utawa . Isine kira-kira 8 milyar tembung sandhi sing dawane saka 4 nganti 25 karakter.
Pros:
- Ngandhut kamus lan kamus tartamtu kanthi tembung sandhi sing paling umum - sampeyan bisa milih kamus khusus kanggo kabutuhan sampeyan;
- Kamus dianyari lan diisi karo tembung sandhi anyar;
- Kamus diurutake miturut efisiensi. Sampeyan bisa milih opsi kanggo pasukan kasar online cepet lan pilihan sandhi sing rinci saka kamus sing akeh banget kanthi bocor paling anyar;
- Ana kalkulator sing nuduhake wektu sing dibutuhake kanggo ngrusak sandhi ing piranti sampeyan.
Kita pengin nyakup alat kanggo mriksa CMS ing grup sing kapisah: WPScan, JoomScan lan peretas AEM.
AEM_hacker
minangka alat kanggo ngenali kerentanan ing aplikasi Adobe Experience Manager (AEM).
Pros:
- Bisa ngenali aplikasi AEM saka dhaptar URL sing dikirim menyang input;
- Ngandhut skrip kanggo entuk RCE kanthi ngemot cangkang JSP utawa ngeksploitasi SSRF.
JoomScan
- alat Perl kanggo ngotomatisasi deteksi kerentanan nalika nggunakake Joomla CMS.
Pros:
- Bisa nemokake cacat konfigurasi lan masalah karo setelan administratif;
- Dhaptar versi Joomla lan kerentanan sing gegandhengan, uga kanggo komponen individu;
- Ngandhut luwih saka 1000 eksploitasi kanggo komponen Joomla;
- Output laporan pungkasan ing format teks lan HTML.
WPScan
- alat kanggo mindhai situs WordPress, nduweni kerentanan ing arsenal kanggo mesin WordPress dhewe lan kanggo sawetara plugin.
Pros:
- Bisa nyathet ora mung plugin lan tema WordPress sing ora aman, nanging uga entuk dhaptar pangguna lan file TimThumb;
- Bisa nindakake serangan brute force ing situs WordPress.
Cons:
- Tanpa setelan sing cocog, nindakake pamriksan sing ora lengkap, sing bisa nyasab.
Umumé, wong sing beda-beda luwih seneng alat sing beda-beda kanggo kerja: kabeh iku apik kanthi cara dhewe, lan apa sing disenengi wong bisa uga ora cocog karo wong liya. Yen sampeyan mikir yen kita ora nggatekake sawetara sarana sing apik, tulisake ing komentar!
Source: www.habr.com