Wapiti - საიტის დაუცველობის შემოწმება დამოუკიდებლად

Ბოლოს მუხლი ჩვენ ვისაუბრეთ Nemesida WAF უფასო - უფასო ინსტრუმენტი ვებსაიტების და API-ების დასაცავად ჰაკერული შეტევებისგან და ამ ერთში გადავწყვიტეთ მიმოხილვა დაუცველობის პოპულარული სკანერი ვაპიტი.

დაუცველობისთვის ვებსაიტის სკანირება აუცილებელი ღონისძიებაა, რომელიც წყაროს კოდის ანალიზთან ერთად საშუალებას გაძლევთ შეაფასოთ მისი უსაფრთხოების დონე კომპრომისის საფრთხისგან. შეგიძლიათ ვებ რესურსის სკანირება სპეციალიზებული ხელსაწყოების გამოყენებით.

უფასო სეგმენტში წარმოდგენილი ყველაზე პოპულარული გადაწყვეტილებებია Nikto, W3af (დაწერილია Python 2.7-ში, რომელიც აღარ არის მხარდაჭერილი) ან Arachni (თებერვლიდან აღარ არის მხარდაჭერილი). რა თქმა უნდა, არის სხვებიც, მაგალითად, ვაპიტი, რომელზედაც გადავწყვიტეთ ყურადღება გავამახვილოთ.

Wapiti მუშაობს შემდეგი ტიპის დაუცველობით:

• ფაილის გაფართოება (ლოკალური და დისტანციური, დაშიფვრა, წაკითხვა);
• ინექციები (PHP / JSP / ASP / SQL ინექცია და XPath ინექცია);
• XSS (Cross Site Scripting) (ამრეკლავი და მუდმივი);
• ბრძანებების აღმოჩენა და შესრულება (eval(), system(), passtru());
• CRLF ინექციები (HTTP პასუხის გაყოფა, სესიის ფიქსაცია);
• XXE (XML გარე ერთეული) ჩაშენება;
• SSRF (სერვერის მხარის მოთხოვნის გაყალბება);
• ცნობილი პოტენციურად საშიში ფაილების გამოყენება (ნიკტოს მონაცემთა ბაზის წყალობით);
• სუსტი .htaccess კონფიგურაციები, რომლებიც შეიძლება გვერდის ავლით;
• სარეზერვო ფაილების არსებობა, რომლებიც ავლენენ კონფიდენციალურ ინფორმაციას (წყაროს კოდის გამჟღავნება);
• Shellshock;
• ღია გადამისამართებები;
• არასტანდარტული HTTP მეთოდები, რომლებიც შეიძლება გადაჭრას (PUT).

თვისებები:

• HTTP, HTTPS და SOCKS5 პროქსის მხარდაჭერა;
• ავთენტიფიკაცია რამდენიმე მეთოდის გამოყენებით: Basic, Digest, Kerberos ან NTLM;
• სკანირების არეალის შეზღუდვის შესაძლებლობა (დომენი, საქაღალდე, გვერდი, URL);
• URL-ში ერთ-ერთი პარამეტრის ავტომატური მოხსნა;
• მრავალი სიფრთხილის ზომები გაუთავებელი სკანირების მარყუჟების წინააღმდეგ (მაგალითად: ifor, პარამეტრის შეზღუდვის მნიშვნელობები);
• URL-ების გამოკვლევისთვის პრიორიტეტის დაყენების შესაძლებლობა (მაშინაც კი, თუ ისინი არ არიან სკანირების ზონაში);
• ზოგიერთი URL-ის სკანირებისა და თავდასხმებისგან გამორიცხვის შესაძლებლობა (მაგალითად: URL-ის გამოსვლა);
• ქუქიების იმპორტი (მიიღეთ ისინი wapiti-getcookie ინსტრუმენტის გამოყენებით);
• SSL სერტიფიკატის გადამოწმების გააქტიურების/გამორთვის შესაძლებლობა;
• JavaScript-დან URL-ების ამოღების შესაძლებლობა (ძალიან მარტივი JS თარჯიმანი);
• HTML5-თან ურთიერთქმედება;
• მცოცავი ქცევისა და შეზღუდვების მართვის რამდენიმე ვარიანტი;
• სკანირების პროცესისთვის მაქსიმალური დროის დაყენება;
• ზოგიერთი მორგებული HTTP სათაურის დამატება ან მორგებული მომხმარებლის აგენტის დაყენება.

Დამატებითი ფუნქციები:

• დაუცველობის ანგარიშების შექმნა სხვადასხვა ფორმატში (HTML, XML, JSON, TXT);
• სკანირების ან შეტევის შეჩერება და განახლება (სესიის მექანიზმი SQLite3 მონაცემთა ბაზების გამოყენებით);
• ტერმინალის უკანა განათება მოწყვლადობის ხაზგასასმელად;
• ჭრის სხვადასხვა დონე;
• თავდასხმის მოდულების გააქტიურების/გამორთვის სწრაფი და მარტივი გზა.

დაყენების

Wapiti-ის მიმდინარე ვერსია შეიძლება დაინსტალირდეს 2 გზით:

• ჩამოტვირთეთ წყარო ოფიციალურიდან сайта და გაუშვით ინსტალაციის სკრიპტი, ადრე დაინსტალირებული Python3;
• pip3 install wapiti3 ბრძანების გამოყენებით.

ამის შემდეგ ვაპიტი მზად იქნება წასასვლელად.

ინსტრუმენტთან მუშაობა

Wapiti-ის მუშაობის დემონსტრირებისთვის ჩვენ გამოვიყენებთ სპეციალურად მომზადებულ სტენდს sites.vulns.pentestit.ru (შიდა რესურსი), რომელიც შეიცავს სხვადასხვა დაუცველობას (Injection, XSS, LFI/RFI) და ვებ აპლიკაციების სხვა ნაკლოვანებებს.

ინფორმაცია მოწოდებულია მხოლოდ საინფორმაციო მიზნებისთვის. არ დაარღვიოთ კანონი!

ძირითადი ბრძანება სკანერის გასაშვებად:

# wapiti -u <target> <options>

ამავდროულად, საკმაოდ დეტალური დახმარებაა გაშვების ვარიანტების დიდი რაოდენობით, მაგალითად:

-- ფარგლები - განაცხადის ფართობი
თუ თქვენ მიუთითებთ ფარგლების პარამეტრს crawl URL-თან ერთად, შეგიძლიათ დაარეგულიროთ საიტის მცოცავი არეალი როგორც ერთი გვერდის, ასევე ყველა გვერდის მითითებით, რომლებიც შეგიძლიათ იპოვოთ საიტზე.

-s и -x — კონკრეტული URL-ების დამატების ან წაშლის ვარიანტები. ეს ოფციები გამოსადეგია, როცა დაგჭირდებათ კონკრეტული URL-ის დამატება ან წაშლა სეირნობის პროცესში.

--გამოტოვება — ამ კლავიშით მითითებული პარამეტრი დასკანირებული იქნება, მაგრამ თავდასხმა არ მოხდება. სასარგებლოა, თუ არსებობს რაიმე საშიში პარამეტრი, რომელიც საუკეთესოდ გამოირიცხება სკანირების დროს.

-- verify-ssl — ჩართეთ ან გამორთეთ სერტიფიკატის გადამოწმება.
Wapiti სკანერი მოდულარულია. თუმცა, კონკრეტული მოდულების გასაშვებად, მათ შორის ისეთებიც, რომლებიც ავტომატურად არის დაკავშირებული სკანერის მუშაობის დროს, უნდა გამოიყენოთ -m გადამრთველი და ჩამოთვალოთ ის, რაც გჭირდებათ, გამოყოფილი მძიმეებით. თუ გასაღები არ არის გამოყენებული, მაშინ ყველა მოდული იმუშავებს ნაგულისხმევად. უმარტივეს ვერსიაში ასე გამოიყურება:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

გამოყენების ეს მაგალითი ნიშნავს, რომ ჩვენ გამოვიყენებთ მხოლოდ SQL, XSS და XXE მოდულებს სამიზნის სკანირებისას. გარდა ამისა, თქვენ შეგიძლიათ გაფილტროთ მოდულების მოქმედება სასურველი მეთოდის მიხედვით. Მაგალითად -m “xss: get, blindsql: post, xxe: post”. ამ შემთხვევაში მოდული xss ვრცელდება GET მეთოდით გაგზავნილ მოთხოვნებზე და მოდულზე blibdsql - POST მოთხოვნები და ა.შ. სხვათა შორის, თუ სიაში შეტანილი რომელიმე მოდული არ იყო საჭირო სკანირების დროს ან ძალიან დიდი დრო სჭირდება, მაშინ Ctrl+C კომბინაციის დაჭერით შეგიძლიათ გამოტოვოთ მიმდინარე მოდულის გამოყენება ინტერაქტიულ მენიუში შესაბამისი ელემენტის არჩევით.

Wapiti მხარს უჭერს მოთხოვნების გადაცემას პროქსის მეშვეობით გასაღების გამოყენებით -p და ავთენტიფიკაცია სამიზნე საიტზე პარამეტრის მეშვეობით -a. თქვენ ასევე შეგიძლიათ მიუთითოთ ავთენტიფიკაციის ტიპი: ძირითადი, დაიჯესტი, კერბეროსი и NTLM. ბოლო ორმა შეიძლება მოითხოვოს დამატებითი მოდულების დაყენება. გარდა ამისა, თქვენ შეგიძლიათ შეიყვანოთ ნებისმიერი სათაური მოთხოვნებში (მათ შორის თვითნებური მომხმარებლის აგენტი) და უფრო მეტი.

ავთენტიფიკაციის გამოსაყენებლად შეგიძლიათ გამოიყენოთ ინსტრუმენტი wapiti-getcookie. მისი დახმარებით ვაყალიბებთ cookie, რომელსაც Wapiti გამოიყენებს სკანირებისას. ფორმირება cookie შესრულებულია ბრძანებით:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

ინტერაქტიულად მუშაობისას, ჩვენ ვპასუხობთ შეკითხვებს და ვანიშნებთ საჭირო ინფორმაციას, როგორიცაა შესვლა, პაროლი და ა.შ.

გამომავალი არის ფაილი JSON ფორმატში. კიდევ ერთი ვარიანტია პარამეტრის საშუალებით ყველა საჭირო ინფორმაციის დამატება -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

შედეგი მსგავსი იქნება:

სკანერის ძირითადი ფუნქციონირების განხილვისას, ჩვენს შემთხვევაში ვებ აპლიკაციის ტესტირების საბოლოო მოთხოვნა იყო:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

სადაც სხვა პარამეტრებს შორის:

-f и -o — ანგარიშის შენახვის ფორმატი და გზა;

-m — ყველა მოდულის დაკავშირება არ არის რეკომენდებული, რადგან იმოქმედებს ტესტირების დროზე და ანგარიშის ზომაზე;

-- ფერი — ხაზგასმით აღვნიშნო აღმოჩენილი ხარვეზები, მათი კრიტიკულობის მიხედვით, თავად Wapiti-ის მიხედვით;

-c - ფაილის გამოყენებით cookie, გენერირებული გამოყენებით wapiti-getcookie;

-- ფარგლები - შეტევისთვის სამიზნის არჩევა. ვარიანტის არჩევა საქაღალდე ყველა URL იქნება დაცოცული და თავდასხმა, დაწყებული საბაზისოდან. საბაზისო URL-ს უნდა ჰქონდეს წინ დახრილი (ფაილის სახელი არ აქვს);

-- ფლეშ-სესია — იძლევა განმეორებით სკანირების საშუალებას, რომელშიც წინა შედეგები არ იქნება გათვალისწინებული;

-A - საკუთარი მომხმარებლის აგენტი;

-p — საჭიროების შემთხვევაში პროქსი სერვერის მისამართი.

ცოტა მოხსენების შესახებ

სკანირების შედეგი წარმოდგენილია დეტალური მოხსენების სახით ყველა აღმოჩენილი დაუცველობის შესახებ HTML გვერდის ფორმატში, მკაფიო და ადვილად წასაკითხი ფორმით. ანგარიშში მითითებული იქნება აღმოჩენილი დაუცველობის კატეგორიები და რაოდენობა, მათი აღწერილობები, მოთხოვნები, ბრძანებები curl და რჩევები, თუ როგორ უნდა დახუროთ ისინი. ნავიგაციის გამარტივებისთვის, კატეგორიის სახელებს დაემატება ბმული, რომელზეც შეგიძლიათ გადახვიდეთ მასზე:

მოხსენების მნიშვნელოვანი მინუსი არის ვებ აპლიკაციის რუკის არარსებობა, როგორც ასეთი, რომლის გარეშეც გაურკვეველი იქნება გაანალიზებულია თუ არა ყველა მისამართი და პარამეტრი. ასევე არსებობს ცრუ პოზიტივის შესაძლებლობა. ჩვენს შემთხვევაში, მოხსენებაში შედის „სარეზერვო ფაილები“ ​​და „პოტენციურად საშიში ფაილები“. მათი რიცხვი არ შეესაბამება რეალობას, რადგან სერვერზე ასეთი ფაილები არ იყო:

შესაძლოა, არასწორად მომუშავე მოდულები დროთა განმავლობაში გამოსწორდეს. მოხსენების კიდევ ერთი ნაკლი არის აღმოჩენილი დაუცველობის არარსებობა (დამოკიდებულია მათ კრიტიკულობაზე), ან თუნდაც მათი კატეგორიებად დაყოფა. ერთადერთი გზა, რომლითაც შეგვიძლია ირიბად გავიგოთ ნაპოვნი დაუცველობის კრიტიკულობა, არის პარამეტრის გამოყენება -- ფერი სკანირების დროს და შემდეგ აღმოჩენილი დაუცველობა შეღებილი იქნება სხვადასხვა ფერებში:

მაგრამ თავად ანგარიში არ იძლევა ასეთ შეღებვას.

მოწყვლადობა

SQLi

სკანერმა ნაწილობრივ გაართვა თავი SQLi ძიებას. SQL დაუცველობის ძიებისას გვერდებზე, სადაც ავტორიზაცია არ არის საჭირო, პრობლემები არ წარმოიქმნება:

შეუძლებელი იყო დაუცველობის პოვნა გვერდებზე, რომლებიც ხელმისაწვდომი იყო მხოლოდ ავტორიზაციის შემდეგ, თუნდაც ვალიდური გამოყენებით cookie, რადგან, სავარაუდოდ, წარმატებული ავტორიზაციის შემდეგ, მათი სესია "გასული იქნება" და cookie ბათილი გახდება. თუ დეავტორიზაციის ფუნქცია განხორციელდებოდა, როგორც ცალკეული სკრიპტი, რომელიც პასუხისმგებელია ამ პროცედურის დამუშავებაზე, მაშინ შესაძლებელი იქნებოდა მისი სრულად გამორიცხვა -x პარამეტრის საშუალებით და ამით თავიდან აიცილოთ მისი გააქტიურება. წინააღმდეგ შემთხვევაში, მისი დამუშავების გამორიცხვა შეუძლებელია. ეს არ არის პრობლემა კონკრეტულ მოდულთან, არამედ მთლიან ინსტრუმენტთან, მაგრამ ამ ნიუანსის გამო, შეუძლებელი გახდა რამდენიმე ინექციის აღმოჩენა დახურულ რესურს ზონაში.

XSS

სკანერმა შესანიშნავად გაართვა თავი დავალებას და აღმოაჩინა ყველა მომზადებული დაუცველობა:

LFI/RFI

სკანერმა აღმოაჩინა ყველა ძირითადი დაუცველობა:

ზოგადად, ცრუ დადებითი და დაკარგული ხარვეზების მიუხედავად, Wapiti, როგორც უფასო ინსტრუმენტი, აჩვენებს საკმაოდ კარგ შედეგს. ნებისმიერ შემთხვევაში, ღირს იმის აღიარება, რომ სკანერი არის საკმაოდ ძლიერი, მოქნილი და მრავალფუნქციური და რაც მთავარია, ის უფასოა, ამიტომ მას უფლება აქვს გამოიყენოს ადმინისტრატორებისა და დეველოპერების დასახმარებლად, მიიღონ ძირითადი ინფორმაცია ვებ-გვერდის უსაფრთხოების სტატუსის შესახებ. განაცხადი.

იყავი ჯანმრთელი და დაცული!

წყარო: www.habr.com