Wapiti - ពិនិត្យមើលគេហទំព័រសម្រាប់ភាពងាយរងគ្រោះដោយខ្លួនឯង។

ក្នុង​អតីតកាល អត្ថបទ យើងបាននិយាយ Nemesida WAF ឥតគិតថ្លៃ - ជាឧបករណ៍ឥតគិតថ្លៃសម្រាប់ការពារគេហទំព័រ និង APIs ពីការវាយប្រហាររបស់ពួក Hacker ហើយនៅក្នុងមួយនេះ យើងបានសម្រេចចិត្តពិនិត្យមើលម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះដ៏ពេញនិយមមួយ វ៉ាវីទី.

ការស្កែនគេហទំព័រសម្រាប់ភាពងាយរងគ្រោះ គឺជាវិធានការចាំបាច់ ដែលរួមជាមួយនឹងការវិភាគនៃកូដប្រភព អនុញ្ញាតឱ្យអ្នកវាយតម្លៃកម្រិតសុវត្ថិភាពរបស់វាប្រឆាំងនឹងការគំរាមកំហែងនៃការសម្របសម្រួល។ អ្នកអាចស្កេនធនធានគេហទំព័រដោយប្រើឧបករណ៍ឯកទេស។

Nikto, W3af (សរសេរក្នុង Python 2.7 ដែលលែងគាំទ្រ) ឬ Arachni (លែងគាំទ្រតាំងពីខែកុម្ភៈ) គឺជាដំណោះស្រាយពេញនិយមបំផុតដែលបង្ហាញក្នុងផ្នែកឥតគិតថ្លៃ។ ជា​ការ​ពិត​ណាស់ មាន​អ្នក​ផ្សេង​ទៀត​ជា​ឧទាហរណ៍ Wapiti ដែល​យើង​សម្រេច​ចិត្ត​ផ្តោត​លើ។

Wapiti ដំណើរការជាមួយប្រភេទនៃភាពងាយរងគ្រោះដូចខាងក្រោម៖

• ការពង្រីកឯកសារ (ក្នុងស្រុក និងពីចម្ងាយ, fopen, readfile);
• ការចាក់ថ្នាំ (ការចាក់ PHP / JSP / ASP / SQL និង XPath ចាក់);
• XSS (Cross Site Scripting) (ឆ្លុះបញ្ចាំង និងជាប់លាប់);
• ការរកឃើញនិងការប្រតិបត្តិពាក្យបញ្ជា (eval(), system(), passtru());
• ការចាក់ CRLF (ការបែងចែកការឆ្លើយតប HTTP, ការជួសជុលវគ្គ);
• XXE (អង្គភាពខាងក្រៅ XML) បង្កប់;
• SSRF (ការក្លែងបន្លំសំណើរបស់ភាគីម៉ាស៊ីនមេ);
• ការប្រើប្រាស់ឯកសារដែលអាចមានគ្រោះថ្នាក់ដែលគេស្គាល់ (អរគុណចំពោះមូលដ្ឋានទិន្នន័យ Nikto);
• ការកំណត់រចនាសម្ព័ន្ធ .htaccess ខ្សោយដែលអាចត្រូវបានឆ្លងកាត់;
• វត្តមាននៃឯកសារបម្រុងទុកដែលបង្ហាញព័ត៌មានសម្ងាត់ (ការបង្ហាញកូដប្រភព);
• Shellshock;
• បើកការបញ្ជូនបន្ត;
• វិធីសាស្ត្រ HTTP មិនស្តង់ដារដែលអាចដោះស្រាយបាន (PUT) ។

លក្ខណៈពិសេស:

• ការគាំទ្រប្រូកស៊ី HTTP, HTTPS និង SOCKS5;
• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយប្រើវិធីសាស្រ្តជាច្រើន៖ មូលដ្ឋាន, រំលាយ, Kerberos ឬ NTLM;
• សមត្ថភាពក្នុងការកំណត់តំបន់ស្កេន (ដែន ថតឯកសារ ទំព័រ URL);
• ការដកយកចេញដោយស្វ័យប្រវត្តិនៃប៉ារ៉ាម៉ែត្រមួយក្នុងចំណោមប៉ារ៉ាម៉ែត្រនៅក្នុង URL;
• ការប្រុងប្រយ័ត្នជាច្រើនប្រឆាំងនឹងរង្វិលជុំស្កេនគ្មានទីបញ្ចប់ (ឧទាហរណ៍៖ ifor ការកំណត់តម្លៃសម្រាប់ប៉ារ៉ាម៉ែត្រមួយ);
• សមត្ថភាពក្នុងការកំណត់អាទិភាពសម្រាប់ការពិនិត្យមើល URLs (ទោះបីជាពួកគេមិននៅក្នុងតំបន់ស្កេនក៏ដោយ);
• សមត្ថភាពក្នុងការដកចេញ URL មួយចំនួនពីការស្កេន និងការវាយប្រហារ (ឧទាហរណ៍៖ URL ចេញ);
• នាំចូលខូគី (យកវាដោយប្រើឧបករណ៍ wapti-getcookie);
• សមត្ថភាពក្នុងការធ្វើឱ្យសកម្ម / អសកម្មការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ SSL;
• សមត្ថភាពក្នុងការទាញយក URL ពី JavaScript (អ្នកបកប្រែ JS សាមញ្ញបំផុត);
• អន្តរកម្មជាមួយ HTML5;
• ជម្រើសជាច្រើនសម្រាប់ការគ្រប់គ្រងឥរិយាបថ និងការរឹតបន្តឹង
• កំណត់ពេលវេលាអតិបរមាសម្រាប់ដំណើរការស្កេន;
• ការបន្ថែមបឋមកថា HTTP ផ្ទាល់ខ្លួនមួយចំនួន ឬរៀបចំ User-Agent ផ្ទាល់ខ្លួន។

លក្ខណៈពិសេសបន្ថែម:

• បង្កើតរបាយការណ៍ភាពងាយរងគ្រោះក្នុងទម្រង់ផ្សេងៗ (HTML, XML, JSON, TXT);
• ការផ្អាក និងបន្តការស្កេន ឬការវាយប្រហារ (យន្តការវគ្គដោយប្រើមូលដ្ឋានទិន្នន័យ SQLite3);
• backlighting នៅក្នុង terminal ដើម្បីរំលេចភាពងាយរងគ្រោះ;
• កម្រិតផ្សេងគ្នានៃការកាប់ឈើ;
• មធ្យោបាយរហ័ស និងងាយស្រួលក្នុងការធ្វើឱ្យសកម្ម/អសកម្មម៉ូឌុលការវាយប្រហារ។

ការកំណត់

កំណែបច្ចុប្បន្នរបស់ Wapiti អាចត្រូវបានដំឡើងតាមពីរវិធី៖

• ទាញយកប្រភពពីផ្លូវការ តំបន់បណ្តាញ ហើយដំណើរការស្គ្រីបដំឡើង ដោយបានដំឡើងពីមុន Python3;
• ដោយប្រើពាក្យបញ្ជា pip3 ដំឡើង wapti3 ។

បន្ទាប់ពីនេះ Wapiti នឹងត្រៀមខ្លួនរួចរាល់ហើយ។

ធ្វើការជាមួយឧបករណ៍

ដើម្បីបង្ហាញពីការងាររបស់ Wapiti យើងនឹងប្រើប្រាស់កន្លែងឈរដែលរៀបចំយ៉ាងពិសេស sites.vulns.pentestit.ru (ធនធានខាងក្នុង) ដែលមានភាពងាយរងគ្រោះផ្សេងៗ (Injection, XSS, LFI/RFI) និងចំណុចខ្វះខាតផ្សេងទៀតនៃកម្មវិធីគេហទំព័រ។

ព័ត៌មានត្រូវបានផ្តល់ជូនសម្រាប់គោលបំណងព័ត៌មានតែប៉ុណ្ណោះ។ កុំបំពានច្បាប់!

ពាក្យបញ្ជាជាមូលដ្ឋានដើម្បីបើកដំណើរការម៉ាស៊ីនស្កេន៖

# wapiti -u <target> <options>

ក្នុងពេលជាមួយគ្នានេះដែរ វាមានជំនួយយ៉ាងលម្អិតជាមួយនឹងជម្រើសនៃការបើកដំណើរការជាច្រើនឧទាហរណ៍៖

--វិសាលភាព - តំបន់កម្មវិធី
ប្រសិនបើអ្នកបញ្ជាក់ប៉ារ៉ាម៉ែត្រវិសាលភាពរួមជាមួយនឹង URL រុករក អ្នកអាចកែតម្រូវតំបន់រុករករបស់គេហទំព័រដោយបញ្ជាក់ទាំងទំព័រតែមួយ និងទំព័រទាំងអស់ដែលអាចត្រូវបានរកឃើញនៅលើគេហទំព័រ។

-s и -x - ជម្រើសដើម្បីបន្ថែម ឬលុប URLs ជាក់លាក់។ ជម្រើសទាំងនេះមានប្រយោជន៍នៅពេលដែលអ្នកត្រូវការបន្ថែម ឬលុប URL ជាក់លាក់មួយក្នុងអំឡុងពេលដំណើរការរុករក។

-- រំលង - ប៉ារ៉ាម៉ែត្រដែលបានបញ្ជាក់ជាមួយនឹងសោនេះនឹងត្រូវបានស្កេន ប៉ុន្តែនឹងមិនត្រូវបានវាយប្រហារទេ។ មានប្រយោជន៍ប្រសិនបើមានប៉ារ៉ាម៉ែត្រគ្រោះថ្នាក់ណាមួយដែលត្រូវបានដកចេញយ៉ាងល្អបំផុតក្នុងអំឡុងពេលស្កេន។

--verify-ssl - បើក ឬបិទការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។
ម៉ាស៊ីនស្កេន Wapiti មានលក្ខណៈម៉ូឌុល។ ទោះយ៉ាងណាក៏ដោយ ដើម្បីបើកដំណើរការម៉ូឌុលជាក់លាក់ រួមទាំងឧបករណ៍ដែលត្រូវបានភ្ជាប់ដោយស្វ័យប្រវត្តិខណៈពេលដែលម៉ាស៊ីនស្កេនកំពុងដំណើរការ អ្នកត្រូវប្រើកុងតាក់ -m ហើយរាយបញ្ជីដែលអ្នកត្រូវការ ដោយបំបែកដោយសញ្ញាក្បៀស។ ប្រសិនបើសោមិនត្រូវបានប្រើទេ នោះម៉ូឌុលទាំងអស់នឹងដំណើរការតាមលំនាំដើម។ នៅក្នុងកំណែសាមញ្ញបំផុតវានឹងមើលទៅដូចនេះ:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

ឧទាហរណ៍នៃការប្រើប្រាស់នេះមានន័យថា យើងនឹងប្រើតែម៉ូឌុល SQL, XSS និង XXE នៅពេលស្កេនគោលដៅ។ លើសពីនេះទៀតអ្នកអាចត្រងប្រតិបត្តិការនៃម៉ូឌុលអាស្រ័យលើវិធីសាស្ត្រដែលចង់បាន។ ឧទាហរណ៍ -m "xss: get, blindsql: ប្រកាស, xxe: ប្រកាស". ក្នុងករណីនេះម៉ូឌុល xss នឹងអនុវត្តចំពោះសំណើដែលបានផ្ញើដោយប្រើវិធីសាស្ត្រ GET និងម៉ូឌុល blibdsql - ដើម្បី POST សំណើ។ល។ ដោយវិធីនេះ ប្រសិនបើម៉ូឌុលមួយចំនួនដែលត្រូវបានដាក់បញ្ចូលក្នុងបញ្ជីមិនត្រូវការកំឡុងពេលស្កេន ឬចំណាយពេលយូរទេនោះ ដោយចុចបន្សំ Ctrl+C អ្នកអាចរំលងដោយប្រើម៉ូឌុលបច្ចុប្បន្នដោយជ្រើសរើសធាតុដែលត្រូវគ្នានៅក្នុងម៉ឺនុយអន្តរកម្ម។

Wapiti គាំទ្រការបញ្ជូនសំណើតាមរយៈប្រូកស៊ីដោយប្រើសោ -p និងការផ្ទៀងផ្ទាត់នៅលើគេហទំព័រគោលដៅតាមរយៈប៉ារ៉ាម៉ែត្រ -a. អ្នកក៏អាចបញ្ជាក់ប្រភេទការផ្ទៀងផ្ទាត់ផងដែរ៖ មូលដ្ឋាន, សង្ខេប, Kerberos и អិន។ អិល។ អេ. ពីរចុងក្រោយអាចតម្រូវឱ្យមានការដំឡើងម៉ូឌុលបន្ថែម។ លើសពីនេះទៀត អ្នកអាចបញ្ចូលបឋមកថាណាមួយទៅក្នុងសំណើ (រួមទាំងការបំពាន ភ្នាក់ងារអ្នកប្រើប្រាស់។) និងច្រើនទៀត។

ដើម្បីប្រើការផ្ទៀងផ្ទាត់អ្នកអាចប្រើឧបករណ៍ wapiti-getcookie. ដោយមានជំនួយពីវាយើងបង្កើត ខូគីដែល Wapiti នឹងប្រើនៅពេលស្កេន។ ការបង្កើត ខូគី ធ្វើ​ដោយ​ពាក្យ​បញ្ជា៖

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

ខណៈពេលដែលធ្វើការអន្តរកម្ម យើងឆ្លើយសំណួរ និងចង្អុលបង្ហាញព័ត៌មានចាំបាច់ដូចជា ការចូល ពាក្យសម្ងាត់ ជាដើម។៖

លទ្ធផលគឺជាឯកសារក្នុងទម្រង់ JSON ។ ជម្រើសមួយទៀតគឺត្រូវបន្ថែមព័ត៌មានចាំបាច់ទាំងអស់តាមរយៈប៉ារ៉ាម៉ែត្រ -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

លទ្ធផលនឹងស្រដៀងគ្នា៖

នៅពេលពិចារណាលើមុខងារចម្បងរបស់ម៉ាស៊ីនស្កេន សំណើចុងក្រោយសម្រាប់សាកល្បងកម្មវិធីគេហទំព័រនៅក្នុងករណីរបស់យើងគឺ៖

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

កន្លែងណាក្នុងចំណោមប៉ារ៉ាម៉ែត្រផ្សេងទៀត៖

-f и -o - ទម្រង់ និងផ្លូវសម្រាប់រក្សាទុករបាយការណ៍។

-m - ការភ្ជាប់ម៉ូឌុលទាំងអស់មិនត្រូវបានណែនាំទេ ពីព្រោះ នឹងប៉ះពាល់ដល់ពេលវេលាសាកល្បង និងទំហំរបាយការណ៍។

--ពណ៌ - ការបន្លិចបានរកឃើញភាពងាយរងគ្រោះអាស្រ័យលើការរិះគន់របស់ពួកគេយោងទៅតាម Wapiti ខ្លួនវាផ្ទាល់។

-c - ប្រើឯកសារជាមួយ ខូគីបង្កើតដោយប្រើ wapiti-getcookie;

--វិសាលភាព - ជ្រើសរើសគោលដៅសម្រាប់ការវាយប្រហារ។ ការជ្រើសរើសជម្រើសមួយ។ ថត រាល់ URL នឹងត្រូវបានរុករក និងវាយប្រហារ ដោយចាប់ផ្តើមពីមូលដ្ឋានមួយ។ URL មូលដ្ឋានត្រូវតែមានសញ្ញាកាត់ទៅមុខ (គ្មានឈ្មោះឯកសារ);

--flush-session - អនុញ្ញាតឱ្យធ្វើការស្កេនម្តងហើយម្តងទៀត ដែលក្នុងនោះលទ្ធផលពីមុននឹងមិនត្រូវបានគេយកមកពិចារណាទេ។

-A - ផ្ទាល់ខ្លួន ភ្នាក់ងារអ្នកប្រើប្រាស់។;

-p - អាសយដ្ឋានម៉ាស៊ីនមេប្រូកស៊ី ប្រសិនបើចាំបាច់។

បន្តិចអំពីរបាយការណ៍

លទ្ធផលស្កេនត្រូវបានបង្ហាញជាទម្រង់របាយការណ៍លម្អិតអំពីភាពងាយរងគ្រោះដែលបានរកឃើញទាំងអស់នៅក្នុងទម្រង់ទំព័រ HTML ក្នុងទម្រង់ច្បាស់លាស់ និងងាយស្រួលអាន។ របាយការណ៍នេះនឹងបង្ហាញពីប្រភេទ និងចំនួននៃភាពងាយរងគ្រោះដែលបានរកឃើញ ការពិពណ៌នារបស់ពួកគេ សំណើរបញ្ជាសម្រាប់ curl និងការណែនាំអំពីរបៀបបិទពួកគេ។ ដើម្បីភាពងាយស្រួលនៃការរុករក តំណភ្ជាប់នឹងត្រូវបានបន្ថែមទៅឈ្មោះប្រភេទ ដោយចុចលើដែលអ្នកអាចទៅកាន់វា៖

គុណវិបត្តិយ៉ាងសំខាន់នៃរបាយការណ៍គឺអវត្តមាននៃផែនទីកម្មវិធីគេហទំព័រ ដោយគ្មាននោះវានឹងមិនច្បាស់ថាតើអាសយដ្ឋាន និងប៉ារ៉ាម៉ែត្រទាំងអស់ត្រូវបានវិភាគទេ។ វាក៏មានលទ្ធភាពនៃភាពវិជ្ជមានមិនពិតផងដែរ។ ក្នុងករណីរបស់យើង របាយការណ៍រួមមាន "ឯកសារបម្រុងទុក" និង "ឯកសារដែលអាចមានគ្រោះថ្នាក់"។ លេខរបស់ពួកគេមិនត្រូវគ្នានឹងការពិតទេ ដោយសារមិនមានឯកសារបែបនេះនៅលើម៉ាស៊ីនមេ៖

ប្រហែលជាម៉ូឌុលដំណើរការមិនត្រឹមត្រូវនឹងត្រូវបានជួសជុលតាមពេលវេលា។ គុណវិបត្តិមួយទៀតនៃរបាយការណ៍គឺការខ្វះពណ៌នៃភាពងាយរងគ្រោះដែលបានរកឃើញ (អាស្រ័យលើការរិះគន់របស់ពួកគេ) ឬយ៉ាងហោចណាស់បែងចែកវាទៅជាប្រភេទ។ មធ្យោបាយតែមួយគត់ដែលយើងអាចយល់ដោយប្រយោលពីការរិះគន់នៃភាពងាយរងគ្រោះដែលបានរកឃើញគឺការប្រើប៉ារ៉ាម៉ែត្រ --ពណ៌ កំឡុងពេលស្កេន ហើយបន្ទាប់មកភាពងាយរងគ្រោះដែលបានរកឃើញនឹងមានពណ៌ខុសៗគ្នា៖

ប៉ុន្តែរបាយការណ៍ខ្លួនឯងមិនផ្តល់ពណ៌បែបនេះទេ។

ភាពងាយរងគ្រោះ

SQLi

ម៉ាស៊ីនស្កេនបានដោះស្រាយដោយផ្នែកជាមួយនឹងការស្វែងរក SQLi ។ នៅពេលស្វែងរកភាពងាយរងគ្រោះ SQL នៅលើទំព័រដែលការផ្ទៀងផ្ទាត់មិនត្រូវបានទាមទារ គ្មានបញ្ហាកើតឡើងទេ៖

វាមិនអាចស្វែងរកភាពងាយរងគ្រោះនៅលើទំព័រដែលអាចចូលប្រើបាន លុះត្រាតែមានការផ្ទៀងផ្ទាត់ សូម្បីតែប្រើត្រឹមត្រូវក៏ដោយ ខូគីចាប់តាំងពីទំនងជាបន្ទាប់ពីការផ្ទៀងផ្ទាត់ដោយជោគជ័យ វគ្គរបស់ពួកគេនឹងត្រូវបាន "ចេញពីគណនី" និង ខូគី នឹងក្លាយជាមិនត្រឹមត្រូវ។ ប្រសិនបើមុខងារ deauthorization ត្រូវបានអនុវត្តជាស្គ្រីបដាច់ដោយឡែកដែលទទួលខុសត្រូវសម្រាប់ដំណើរការនីតិវិធីនេះ នោះវានឹងអាចដកវាចេញទាំងស្រុងតាមរយៈប៉ារ៉ាម៉ែត្រ -x ហើយដោយហេតុនេះការពារវាពីការកេះ។ បើមិនដូច្នោះទេវានឹងមិនអាចដកចេញដំណើរការរបស់វាបានទេ។ នេះមិនមែនជាបញ្ហាជាមួយម៉ូឌុលជាក់លាក់មួយទេ ប៉ុន្តែជាមួយនឹងឧបករណ៍ទាំងមូល ប៉ុន្តែដោយសារតែភាពខុសប្លែកគ្នានេះ វាមិនអាចរកឃើញការចាក់ជាច្រើននៅក្នុងតំបន់ធនធានដែលបានបិទនោះទេ។

អេសអេសអេស

ម៉ាស៊ីនស្កេនបានដោះស្រាយភារកិច្ចដែលបានផ្តល់ឱ្យយ៉ាងល្អឥតខ្ចោះ ហើយបានរកឃើញភាពងាយរងគ្រោះដែលបានរៀបចំទាំងអស់៖

LFI/RFI

ម៉ាស៊ីនស្កេនបានរកឃើញភាពងាយរងគ្រោះទាំងអស់៖

ជាទូទៅ ទោះបីជាមានភាពវិជ្ជមានមិនពិត និងភាពងាយរងគ្រោះដែលបាត់ក៏ដោយ ក៏ Wapiti ជាឧបករណ៍ឥតគិតថ្លៃបង្ហាញលទ្ធផលល្អគួរសម។ ក្នុងករណីណាក៏ដោយ វាមានតម្លៃក្នុងការទទួលស្គាល់ថាម៉ាស៊ីនស្កេនពិតជាមានថាមពល អាចបត់បែនបាន និងមានមុខងារច្រើន ហើយសំខាន់បំផុតនោះគឺវាឥតគិតថ្លៃ ដូច្នេះវាមានសិទ្ធិប្រើប្រាស់ក្នុងការជួយអ្នកគ្រប់គ្រង និងអ្នកអភិវឌ្ឍន៍ទទួលបានព័ត៌មានជាមូលដ្ឋានអំពីស្ថានភាពសុវត្ថិភាពនៃគេហទំព័រ។ កម្មវិធី។

ថែរក្សាសុខភាព និងការពារ!

ប្រភព: www.habr.com