Virun enger Zäit hunn ech iwwer geschriwwen , awer e bësse mëll a chaotesch. Duerno hunn ech beschloss d'Lëscht vun den Tools an der Iwwerpréiwung auszebauen, Struktur un den Artikel bäizefügen, a Kritik berücksichtegen (vill Merci fir Rotschléi) a geschéckt et zu engem Concours op SecLab (a publizéiert , awer aus all offensichtleche Grënn huet keen hatt gesinn). D'Konkurrenz ass eriwwer, d'Resultater sinn ugekënnegt a mat guddem Gewësse kann ech en (den Artikel) op Habré publizéieren.
Gratis Web Applikatioun Pentester Tools
An dësem Artikel schwätze mir iwwer déi populärste Tools fir Penetratioun (Penetratiounstester) vu Webapplikatiounen mat der "Black Box" Strategie.
Fir dëst ze maachen, wäerte mir Utilities kucken, déi mat dëser Zort Tester hëllefen. Bedenkt déi folgend Produktkategorien:
- Reseau Scanner
- Web Script Breach Scanner
- Ausbeutung
- Automatisatioun vun Injektiounen
- Debugger (Sniffer, lokal Proxy, etc.)
E puer Produkter hunn en universellen "Charakter", also wäert ech se an der Kategorie klassifizéieren, an där se eоbesser Resultat (subjektiv Meenung).
Reseau Scanner.
D'Haaptaufgab ass verfügbare Netzwierkservicer z'entdecken, hir Versiounen z'installéieren, den OS ze bestëmmen, etc.
Nmap
ass e gratis an Open Source Utility fir Netzwierkanalyse a Systemsécherheetsauditéierung. Gewalt Géigner vun der Konsole kënnen Zenmap benotzen, wat e GUI fir Nmap ass.
Dëst ass net nëmmen e "intelligente" Scanner, et ass e seriöen erweiterbaren Tool (eng vun den "ongewéinleche Featuren" ass d'Präsenz vun engem Skript fir e Node fir d'Präsenz vun engem Wuerm ze kontrolléieren "" (ernimmt ). Typesch Benotzungsbeispiel:
nmap -A -T4 localhost
-A fir OS Versioun Detektioun, Skript Scannen an Tracing
-T4 Zäit Kontroll Astellung (méi ass méi séier, vun 0 bis 5)
localhost - Zilhost
Eppes méi haart?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Dëst ass eng Rei vun Optiounen aus dem "luesen ëmfaassenden Scan" Profil an Zenmap. Et dauert zimmlech laang Zäit fir ze kompletéieren, awer schlussendlech gëtt méi detailléiert Informatioun déi iwwer den Zilsystem erausfonnt ka ginn. , Wann Dir décidéiert méi déif ze goen, ech recommandéieren och den Artikel ze iwwersetzen .
Nmap huet de Status "Sécherheetsprodukt vum Joer" vun Zäitschrëften a Gemeinschaften wéi Linux Journal, Info World, LinuxQuestions.Org a Codetalker Digest kritt.
En interessante Punkt, Nmap kann an de Filmer "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" an .
IP-Tools
- eng Zort Set vu verschiddenen Netzwierker, kënnt mat engem GUI, "dedizéiert" fir Windows Benotzer.
Port Scanner, gedeelt Ressourcen (gedeelt Dréckeren / Ordner), WhoIs / Fanger / Lookup, Telnet Client a vill méi. Just e praktescht, séier, funktionellt Tool.
Et gëtt kee besonnesche Punkt fir aner Produkter ze berücksichtegen, well et vill Utilities an dësem Beräich sinn a si hunn all ähnlech Operatiounsprinzipien a Funktionalitéit. Trotzdem bleift nmap déi meescht benotzt.
Web Script Breach Scanner
Probéiert populär Schwachstelle ze fannen (SQL inj, XSS, LFI/RFI, etc.) oder Feeler (net geläscht temporär Dateien, Verzeichnisindexéierung, etc.)
Acunetix Web Vulnerability Scanner
- vum Link kënnt Dir gesinn datt dëst en xss Scanner ass, awer dëst ass net ganz richteg. Déi gratis Versioun, déi hei verfügbar ass, bitt zimmlech vill Funktionalitéit. Normalerweis erlieft déi Persoun, déi dëse Scanner fir d'éischte Kéier leeft an e Bericht iwwer hir Ressource fir d'éischte Kéier kritt, e liichte Schock, an Dir wäert verstoen firwat eemol Dir dëst maacht. Dëst ass e ganz mächtegt Produkt fir all Zort vu Schwachstelle op enger Websäit ze analyséieren a funktionnéiert net nëmme mat den üblechen PHP Websäiten, awer och an anere Sproochen (och wann den Ënnerscheed an der Sprooch keen Indikator ass). Et gëtt kee spezielle Punkt fir d'Instruktioune ze beschreiwen, well de Scanner einfach d'Aktiounen vum Benotzer "ophëlt". Eppes ähnlech wéi "nächst, nächst, nächst, prett" an enger typescher Softwareinstallatioun.
Nikto
Dëst ass en Open Source (GPL) Web Crawler. Eliminéiert Routine manuell Aarbecht. Sicht op der Zilsäit fir ongeläschte Scripten (e puer test.php, index_.php, etc.), Datebankadministratiounsinstrumenter (/phpmyadmin/, /pma an dergläiche), asw. normalerweis duerch mënschlech Faktoren verursaacht.
Plus, wann et e populäre Skript fënnt, kontrolléiert et fir verëffentlecht Exploiten (déi an der Datebank sinn).
Berichter verfügbar "onerwënscht" Methoden wéi PUT an TRACE
A sou weider. Et ass ganz bequem wann Dir als Auditeur schafft an all Dag Websäiten analyséiert.
Vun de Minusen wëll ech den héije Prozentsaz vu falsche Positiven notéieren. Zum Beispill, wann Är Site ëmmer den Haaptfehler anstatt e 404 Feeler gëtt (wann et sollt optrieden), da seet de Scanner datt Äre Site all d'Skripten an all Schwachstelle vu senger Datebank enthält. An der Praxis geschitt dat net sou dacks, awer als Tatsaach hänkt vill vun der Struktur vun Ärem Site of.
Klassesch Benotzung:
./nikto.pl -host localhost
Wann Dir op de Site autoriséiert muss sinn, kënnt Dir e Cookie an der nikto.conf Datei setzen, d'STATIC-COOKIE Variabel.
Wikto
- Nikto fir Windows, awer mat e puer Ergänzunge, wéi "fuzzy" Logik beim Iwwerpréiwung vu Code fir Feeler, Benotzung vun GHDB, Erhalen vun Linken a Ressourcen Ordner, Echtzäit Iwwerwaachung vun HTTP Ufroen / Äntwerten. Wikto ass am C# geschriwwen a erfuerdert den .NET Kader.
skipfish
- Web Schwachstelle Scanner vun (bekannt als lcamtuf). Geschriwwen an C, Kräiz-Plattform (Gewënn verlaangt Cygwin). Rekursiv (a fir eng ganz laang Zäit, ongeféier 20 ~ 40 Stonnen, obwuel d'lescht Kéier fir mech geschafft huet 96 Stonnen) krabbelt de ganze Site a fënnt all Zort vu Sécherheetslächer. Et generéiert och vill Traffic (e puer GB erakommen / erausginn). Awer all Mëttel si gutt, besonnesch wann Dir Zäit a Ressourcen hutt.
Typesch Benotzung:
./skipfish -o /home/reports www.example.com
Am Dossier "Rapporten" gëtt et e Bericht an HTML, .
w3 afp
- Web Application Attack and Audit Framework, Open-Source Web Schwachstelle Scanner. Et huet eng GUI, awer Dir kënnt vun der Konsole schaffen. Méi präzis ass et e Kader mat .
Dir kënnt iwwer seng Virdeeler fir eng laang Zäit schwätzen, et ass besser et ze probéieren :] Typesch Aarbecht mat et geet erof op d'Auswiel vun engem Profil, e Zil ze spezifizéieren an tatsächlech ze lancéieren.
Mantra Sécherheet Kader
ass en Dram deen richteg ass. Eng Sammlung vu gratis an oppenen Informatiounssécherheetsinstrumenter agebaut an engem Webbrowser.
Ganz nëtzlech wann Dir Webapplikatiounen op all Etappe testen.
D'Benotzung kacht erof fir de Browser z'installéieren an ze starten.
Tatsächlech ginn et vill Utilities an dëser Kategorie an et ass ganz schwéier eng spezifesch Lëscht vun hinnen ze wielen. Meeschtens bestëmmt all Pentester selwer de Set vun Tools déi hien brauch.
Ausbeutung
Fir automatiséiert a méi bequem Ausbeutung vu Schwachstelle ginn Exploiten a Software a Skripte geschriwwe, déi nëmme Parametere musse passéiert ginn fir d'Sécherheetsloch auszenotzen. An et gi Produkter déi d'Noutwendegkeet eliminéieren fir manuell no Ausnotzen ze sichen, a se souguer op der Flucht applizéieren. Dës Kategorie wäert elo diskutéiert ginn.
Metasploit Framework
- eng Zort Monster an eisem Geschäft. Hie kann esou vill maachen, datt d'Instruktioune verschidden Artikelen ofdecken. Mir kucken op automatesch Ausbeutung (nmap + metasploit). Déi ënnescht Linn ass dëst: Nmap wäert den Hafen analyséieren, dee mir brauchen, de Service installéieren, a metasploit probéiert d'Exploitë fir et op Basis vun der Serviceklass (ftp, ssh, etc.) ze gëllen. Amplaz vun Textinstruktiounen, wäert ech e Video setzen, zimlech populär zum Thema Autopwn
Oder mir kënnen einfach d'Operatioun vun der Exploit automatiséieren déi mir brauchen. zB:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Tatsächlech sinn d'Fäegkeeten vun dësem Kader ganz extensiv, also wann Dir décidéiert méi déif ze goen, gitt op
Armitage
- OVA vum Cyberpunk Genre GUI fir Metasploit. Visualiséiert d'Zil, recommandéiert Ausnotzen a bitt fortgeschratt Feature vum Kader. Am Allgemengen, fir déi, déi alles gär hunn, schéin an beandrockend ze kucken.
Screencast:
Tenable Nessus®
- ka vill Saache maachen, awer eng vun de Fäegkeeten, déi mir dovun brauchen, ass ze bestëmmen wéi eng Servicer Ausnotzen hunn. Gratis Versioun vum Produkt "nëmmen doheem"
Verbrauch:
- Eroflueden (fir Äre System), installéiert, registréiert (de Schlëssel gëtt op Är E-Mail geschéckt).
- De Server gestart, de Benotzer op Nessus Server Manager bäigefüügt (Benotzer verwalten Knäppchen)
- Mir ginn op d'Adress
https://localhost:8834/
a kritt de Flash Client am Browser
- Scans -> Add -> fëllt d'Felder aus (duerch auswielen de Scannerprofil deen eis passt) a klickt Scan
No enger Zäit erschéngt de Scan-Rapport op der Tab Berichter
Fir d'praktesch Schwachstelle vu Servicer fir Ausnotzen z'iwwerpréiwen, kënnt Dir de Metasploit Framework uewe beschriwwen benotzen oder probéiert en Exploit ze fannen (zum Beispill op , , etc.) a benotzen se manuell géint säi System
IMHO: ze voluminös. Ech hunn hien als ee vun de Leader an dëser Richtung vun der Software Industrie bruecht.
Automatisatioun vun Injektiounen
Vill vun de Web App sec Scanner sichen no Injektiounen, awer si sinn ëmmer nach allgemeng Scanner. An et ginn Utilities déi speziell mat der Sich no an Ausbeutung vun Injektiounen beschäftegen. Mir wäerten elo iwwer hinnen schwätzen.
Sqlmap
- Open Source Utility fir SQL Injektiounen ze sichen an auszenotzen. Ënnerstëtzt Datebankserver wéi: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typesch Notzung kacht op d'Linn erof:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Et gi genuch Handbuch, och op Russesch. D'Software erliichtert immens d'Aarbecht vun engem Pentester wann Dir op dësem Gebitt schafft.
Ech addéieren eng offiziell Videodemonstratioun:
bsqlbf-v2
- e Perl Skript, e brute Kraaft fir "blannen" Sql Injektiounen. Et funktionnéiert souwuel mat ganzer Wäerter an der URL a mat Stringwäerter.
Datebank ënnerstëtzt:
- MS-SQL
- MySQL
- PostgreSQL
- entscheet
Benotzungsbeispiel:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url - Link mat Parameteren
-blann u - Parameter fir d'Injektioun (par défaut gëtt dee leschte vun der Adressbar geholl)
-sql "wielt table_name aus imformation_schema.tables Limit 1 Offset 0" - eis arbiträr Ufro un d'Datebank
-Datebank 1 - Datebankserver: MSSQL
-Typ 1 - Aart vun Attack, "blann" Injektioun, baséiert op True and Error (zum Beispill Syntaxfehler) Äntwerten
Debugger
Dës Tools ginn haaptsächlech vun Entwéckler benotzt wann se Problemer mat de Resultater vun der Ausféierung vun hirem Code hunn. Awer dës Richtung ass och nëtzlech fir Pentesting, wa mir d'Donnéeën ersetzen, déi mir op der Flucht brauchen, analyséieren wat an Äntwert op eis Inputparameter kënnt (zum Beispill beim Fuzzing), etc.
Burp Suite
- eng Rei vun Utilities déi mat Pénétratiounstester hëllefen. Et ass um Internet op Russesch aus Raz0r (obwuel fir 2008).
Déi gratis Versioun enthält:
- Burp Proxy ass e lokale Proxy deen Iech erlaabt scho generéiert Ufroe vum Browser z'änneren
- Burp Spider - Spann, sicht no existéierende Dateien an Verzeichnisser
- Burp Repeater - manuell HTTP-Ufroen schécken
- Burp Sequencer - analyséiert zoufälleg Wäerter a Formen
- Burp Decoder ass e Standard Encoder-Decoder (html, base64, hex, etc.), vun deenen et Dausende sinn, déi séier an all Sprooch geschriwwe kënne ginn
- Burp Comparer - String Comparison Component
Am Prinzip, léist dëse Package bal all Problemer am Zesummenhang mat dësem Beräich.
Fiddler
- Fiddler ass en Debugging Proxy deen all HTTP(S) Traffic protokolléiert. Erlaabt Iech dëse Traffic z'ënnersichen, Breakpunkten ze setzen an "Spill" mat erakommen oder erausginn Daten.
Et gëtt och , Monster an anerer, de Choix ass un de Benotzer.
Konklusioun
Natierlech huet all Pentester säin eegent Arsenal a seng eege Set vun Utilities, well et einfach vill vun hinnen sinn. Ech hu probéiert e puer vun de bequemsten a populärsten ze lëschten. Awer fir datt jidderee sech mat aneren Utilitys an dëser Richtung vertraut ka ginn, ginn ech Linken hei drënner.
Verschidde Tops / Lëschte vu Scanner an Utilities
- .
Linux Verdeelungen déi scho vill verschidde pentesting Utilities enthalen
aktualiséieren: op Russesch vum "Hack4Sec" Team (derbäigesat )
PS Mir kënnen net roueg bleiwen iwwer XSpider. Huelt net un der Iwwerpréiwung deel, obwuel et Shareware ass (Ech hunn erausfonnt wéi ech den Artikel op SecLab geschéckt hunn, eigentlech wéinst dësem (net Wëssen, a Mangel un der leschter Versioun 7.8) an huet et net am Artikel abegraff). An an der Theorie war eng Iwwerpréiwung dervun geplangt (ech hu schwiereg Tester dofir virbereet), awer ech weess net ob d'Welt et wäert gesinn.
PPS E puer Material aus dem Artikel gëtt fir säin virgesinn Zweck an engem kommende Bericht benotzt 2012 an der QA Sektioun, déi Tools enthält déi net hei erwähnt ginn (gratis, natierlech), souwéi den Algorithmus, a wéi enger Uerdnung wat ze benotzen, wat fir eng Resultat ze erwaarden, wéi eng Konfiguratiounen ze benotzen an all Zorte vun Tipps an Tricks wann schaffen (ech denken bal all Dag un de Bericht, ech probéieren Iech alles am Beschten iwwer d'Thema ze soen)
Iwwregens gouf et eng Lektioun iwwer dësen Artikel am Open InfoSec Deeg (, ), kann d'Korovans beréieren kuckt w.e.g. .
Source: will.com