🥇 Iwwerpréiwung vu gratis Tools fir Pentesting Webressourcen a méi v2

Virun enger Zäit hunn ech iwwer geschriwwen dat, awer e bësse mëll a chaotesch. Duerno hunn ech beschloss d'Lëscht vun den Tools an der Iwwerpréiwung auszebauen, Struktur un den Artikel bäizefügen, a Kritik berücksichtegen (vill Merci Lefty fir Rotschléi) a geschéckt et zu engem Concours op SecLab (a publizéiert Link, awer aus all offensichtleche Grënn huet keen hatt gesinn). D'Konkurrenz ass eriwwer, d'Resultater sinn ugekënnegt a mat guddem Gewësse kann ech en (den Artikel) op Habré publizéieren.

Gratis Web Applikatioun Pentester Tools

An dësem Artikel schwätze mir iwwer déi populärste Tools fir Penetratioun (Penetratiounstester) vu Webapplikatiounen mat der "Black Box" Strategie.
Fir dëst ze maachen, wäerte mir Utilities kucken, déi mat dëser Zort Tester hëllefen. Bedenkt déi folgend Produktkategorien:

Reseau Scanner
Web Script Breach Scanner
Ausbeutung
Automatisatioun vun Injektiounen
Debugger (Sniffer, lokal Proxy, etc.)

E puer Produkter hunn en universellen "Charakter", also wäert ech se an der Kategorie klassifizéieren, an där se eоbesser Resultat (subjektiv Meenung).

Reseau Scanner.

D'Haaptaufgab ass verfügbare Netzwierkservicer z'entdecken, hir Versiounen z'installéieren, den OS ze bestëmmen, etc.

Nmap
Nmap ("Network Mapper") ass e gratis an Open Source Utility fir Netzwierkanalyse a Systemsécherheetsauditéierung. Gewalt Géigner vun der Konsole kënnen Zenmap benotzen, wat e GUI fir Nmap ass.
Dëst ass net nëmmen e "intelligente" Scanner, et ass e seriöen erweiterbaren Tool (eng vun den "ongewéinleche Featuren" ass d'Präsenz vun engem Skript fir e Node fir d'Präsenz vun engem Wuerm ze kontrolléieren "Stuxnet" (ernimmt hei). Typesch Benotzungsbeispiel:

nmap -A -T4 localhost

-A fir OS Versioun Detektioun, Skript Scannen an Tracing
-T4 Zäit Kontroll Astellung (méi ass méi séier, vun 0 bis 5)
localhost - Zilhost
Eppes méi haart?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Dëst ass eng Rei vun Optiounen aus dem "luesen ëmfaassenden Scan" Profil an Zenmap. Et dauert zimmlech laang Zäit fir ze kompletéieren, awer schlussendlech gëtt méi detailléiert Informatioun déi iwwer den Zilsystem erausfonnt ka ginn. Hëllef Guide op Russesch, Wann Dir décidéiert méi déif ze goen, ech recommandéieren och den Artikel ze iwwersetzen Ufänger d'Guide fir Nmap.
Nmap gouf vu Zäitschrëften a Gesellschaften wéi z.B. als "Sécherheetsprodukt vum Joer" ausgezeechent. Linux Zäitschrëft, Informatiounswelt, LinuxQuestions.Org a Codetalker Digest.
En interessante Punkt, Nmap kann an de Filmer "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" an anerer.

IP-Tools
IP-Tools - eng Zort Set vu verschiddenen Netzwierker, kënnt mat engem GUI, "dedizéiert" fir Windows Benotzer.
Port Scanner, gedeelt Ressourcen (gedeelt Dréckeren / Ordner), WhoIs / Fanger / Lookup, Telnet Client a vill méi. Just e praktescht, séier, funktionellt Tool.

Et gëtt kee besonnesche Punkt fir aner Produkter ze berücksichtegen, well et vill Utilities an dësem Beräich sinn a si hunn all ähnlech Operatiounsprinzipien a Funktionalitéit. Trotzdem bleift nmap déi meescht benotzt.

Web Script Breach Scanner

Probéiert populär Schwachstelle ze fannen (SQL inj, XSS, LFI/RFI, etc.) oder Feeler (net geläscht temporär Dateien, Verzeichnisindexéierung, etc.)

Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner - vum Link kënnt Dir gesinn datt dëst en xss Scanner ass, awer dëst ass net ganz richteg. Déi gratis Versioun, déi hei verfügbar ass, bitt zimmlech vill Funktionalitéit. Normalerweis erlieft déi Persoun, déi dëse Scanner fir d'éischte Kéier leeft an e Bericht iwwer hir Ressource fir d'éischte Kéier kritt, e liichte Schock, an Dir wäert verstoen firwat eemol Dir dëst maacht. Dëst ass e ganz mächtegt Produkt fir all Zort vu Schwachstelle op enger Websäit ze analyséieren a funktionnéiert net nëmme mat den üblechen PHP Websäiten, awer och an anere Sproochen (och wann den Ënnerscheed an der Sprooch keen Indikator ass). Et gëtt kee spezielle Punkt fir d'Instruktioune ze beschreiwen, well de Scanner einfach d'Aktiounen vum Benotzer "ophëlt". Eppes ähnlech wéi "nächst, nächst, nächst, prett" an enger typescher Softwareinstallatioun.

Nikto
Nikto Dëst ass en Open Source (GPL) Web Crawler. Eliminéiert Routine manuell Aarbecht. Sicht op der Zilsäit fir ongeläschte Scripten (e puer test.php, index_.php, etc.), Datebankadministratiounsinstrumenter (/phpmyadmin/, /pma an dergläiche), asw. normalerweis duerch mënschlech Faktoren verursaacht.
Plus, wann et e populäre Skript fënnt, kontrolléiert et fir verëffentlecht Exploiten (déi an der Datebank sinn).
Berichter verfügbar "onerwënscht" Methoden wéi PUT an TRACE
A sou weider. Et ass ganz bequem wann Dir als Auditeur schafft an all Dag Websäiten analyséiert.
Vun de Minusen wëll ech den héije Prozentsaz vu falsche Positiven notéieren. Zum Beispill, wann Är Site ëmmer den Haaptfehler anstatt e 404 Feeler gëtt (wann et sollt optrieden), da seet de Scanner datt Äre Site all d'Skripten an all Schwachstelle vu senger Datebank enthält. An der Praxis geschitt dat net sou dacks, awer als Tatsaach hänkt vill vun der Struktur vun Ärem Site of.
Klassesch Benotzung:

./nikto.pl -host localhost

Wann Dir op de Site autoriséiert muss sinn, kënnt Dir e Cookie an der nikto.conf Datei setzen, d'STATIC-COOKIE Variabel.

Wikto
Wikto - Nikto ënner Windows, awer mat e puer Ergänzungen, wéi zum Beispill Fuzzy-Logik fir Feelerprüfung, GHDB-Benotzung, Ofruffe vu Ressourcenlinks an Dossieren, an Echtzäit-Iwwerwaachung vun HTTP-Ufroen/Äntwerten. Wikto ass a C# geschriwwen a brauch de .NET Framework.

skipfish
skipfish - Web Schwachstelle Scanner vun Michal Zalewski (bekannt als lcamtuf). Geschriwwen an C, Kräiz-Plattform (Gewënn verlaangt Cygwin). Rekursiv (a fir eng ganz laang Zäit, ongeféier 20 ~ 40 Stonnen, obwuel d'lescht Kéier fir mech geschafft huet 96 Stonnen) krabbelt de ganze Site a fënnt all Zort vu Sécherheetslächer. Et generéiert och vill Traffic (e puer GB erakommen / erausginn). Awer all Mëttel si gutt, besonnesch wann Dir Zäit a Ressourcen hutt.
Typesch Benotzung:

./skipfish -o /home/reports www.example.com

Am Dossier "Rapporten" gëtt et e Bericht an HTML, Beispill.

w3 afp
w3 afp - Web Application Attack and Audit Framework, Open-Source Web Schwachstelle Scanner. Et huet eng GUI, awer Dir kënnt vun der Konsole schaffen. Méi präzis ass et e Kader mat eng Rëtsch Plugins.
Ech kéint nach laang iwwer seng Virdeeler schwätzen, mee et ass besser et emol auszeprobéieren :]
Typesch Aarbecht domat kënnt dorop erof, e Profil ze wielen, en Zil ze spezifizéieren an et tatsächlech ze starten.

Mantra Sécherheet Kader
Mantra ass en Dram deen richteg ass. Eng Sammlung vu gratis an oppenen Informatiounssécherheetsinstrumenter agebaut an engem Webbrowser.
Ganz nëtzlech wann Dir Webapplikatiounen op all Etappe testen.
D'Benotzung kacht erof fir de Browser z'installéieren an ze starten.

Tatsächlech ginn et vill Utilities an dëser Kategorie an et ass ganz schwéier eng spezifesch Lëscht vun hinnen ze wielen. Meeschtens bestëmmt all Pentester selwer de Set vun Tools déi hien brauch.

Ausbeutung

Fir automatiséiert a méi bequem Ausbeutung vu Schwachstelle ginn Exploiten a Software a Skripte geschriwwe, déi nëmme Parametere musse passéiert ginn fir d'Sécherheetsloch auszenotzen. An et gi Produkter déi d'Noutwendegkeet eliminéieren fir manuell no Ausnotzen ze sichen, a se souguer op der Flucht applizéieren. Dës Kategorie wäert elo diskutéiert ginn.

Metasploit Framework
De Metasploit® Framework - eng Zort Monster an eisem Geschäft. Hie kann esou vill maachen, datt d'Instruktioune verschidden Artikelen ofdecken. Mir kucken op automatesch Ausbeutung (nmap + metasploit). Déi ënnescht Linn ass dëst: Nmap wäert den Hafen analyséieren, dee mir brauchen, de Service installéieren, a metasploit probéiert d'Exploitë fir et op Basis vun der Serviceklass (ftp, ssh, etc.) ze gëllen. Amplaz vun Textinstruktiounen, wäert ech e Video setzen, zimlech populär zum Thema Autopwn

Oder mir kënnen einfach d'Operatioun vun der Exploit automatiséieren déi mir brauchen. zB:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run
Tatsächlech sinn d'Fäegkeeten vun dësem Kader ganz extensiv, also wann Dir décidéiert méi déif ze goen, gitt op Link

Armitage
Armitage - OVA vum Cyberpunk Genre GUI fir Metasploit. Visualiséiert d'Zil, recommandéiert Ausnotzen a bitt fortgeschratt Feature vum Kader. Am Allgemengen, fir déi, déi alles gär hunn, schéin an beandrockend ze kucken.
Screencast:

Tenable Nessus®
Tenable Nessus® Schwachstelle Scanner - ka vill Saache maachen, awer eng vun de Fäegkeeten, déi mir dovun brauchen, ass ze bestëmmen wéi eng Servicer Ausnotzen hunn. Gratis Versioun vum Produkt "nëmmen doheem"

Verbrauch:

Eroflueden (fir Äre System), installéiert, registréiert (de Schlëssel gëtt op Är E-Mail geschéckt).
De Server gestart, de Benotzer op Nessus Server Manager bäigefüügt (Benotzer verwalten Knäppchen)
Mir ginn op d'Adress
```
https://localhost:8834/
```
a kritt de Flash Client am Browser
Scans -> Add -> fëllt d'Felder aus (duerch auswielen de Scannerprofil deen eis passt) a klickt Scan

No enger Zäit erschéngt de Scan-Rapport op der Tab Berichter
Fir d'praktesch Schwachstelle vu Servicer fir Ausnotzen z'iwwerpréiwen, kënnt Dir de Metasploit Framework uewe beschriwwen benotzen oder probéiert en Exploit ze fannen (zum Beispill op Explot-db, Pak Stuerm, explot Sich etc.) a benotzen se manuell géint säi System
IMHO: ze voluminös. Ech hunn hien als ee vun de Leader an dëser Richtung vun der Software Industrie bruecht.

Automatisatioun vun Injektiounen

Vill vun de Web App sec Scanner sichen no Injektiounen, awer si sinn ëmmer nach allgemeng Scanner. An et ginn Utilities déi speziell mat der Sich no an Ausbeutung vun Injektiounen beschäftegen. Mir wäerten elo iwwer hinnen schwätzen.

Sqlmap
Sqlmap - Open Source Utility fir SQL Injektiounen ze sichen an auszenotzen. Ënnerstëtzt Datebankserver wéi: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typesch Notzung kacht op d'Linn erof:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Et gi genuch Handbuch, och op Russesch. D'Software erliichtert immens d'Aarbecht vun engem Pentester wann Dir op dësem Gebitt schafft.
Ech addéieren eng offiziell Videodemonstratioun:

bsqlbf-v2
bsqlbf-v2 - e Perl Skript, e brute Kraaft fir "blannen" Sql Injektiounen. Et funktionnéiert souwuel mat ganzer Wäerter an der URL a mat Stringwäerter.
Datebank ënnerstëtzt:

MS-SQL
MySQL
PostgreSQL
entscheet

Benotzungsbeispiel:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url www.somehost.com/blah.php?u=5 - Link mat Parameteren
-blann u - Parameter fir d'Injektioun (par défaut gëtt dee leschte vun der Adressbar geholl)
-sql "wielt table_name aus imformation_schema.tables Limit 1 Offset 0" - eis arbiträr Ufro un d'Datebank
-Datebank 1 - Datebankserver: MSSQL
-Typ 1 - Aart vun Attack, "blann" Injektioun, baséiert op True and Error (zum Beispill Syntaxfehler) Äntwerten

Debugger

Dës Tools ginn haaptsächlech vun Entwéckler benotzt wann se Problemer mat de Resultater vun der Ausféierung vun hirem Code hunn. Awer dës Richtung ass och nëtzlech fir Pentesting, wa mir d'Donnéeën ersetzen, déi mir op der Flucht brauchen, analyséieren wat an Äntwert op eis Inputparameter kënnt (zum Beispill beim Fuzzing), etc.

Burp Suite
Burp Suite - eng Rei vun Utilities déi mat Pénétratiounstester hëllefen. Et ass um Internet gutt Iwwerpréiwung op Russesch aus Raz0r (obwuel fir 2008).
Déi gratis Versioun enthält:

Burp Proxy ass e lokale Proxy deen Iech erlaabt scho generéiert Ufroe vum Browser z'änneren
Burp Spider - Spann, sicht no existéierende Dateien an Verzeichnisser
Burp Repeater - manuell HTTP-Ufroen schécken
Burp Sequencer - analyséiert zoufälleg Wäerter a Formen
Burp Decoder ass e Standard Encoder-Decoder (html, base64, hex, etc.), vun deenen et Dausende sinn, déi séier an all Sprooch geschriwwe kënne ginn
Burp Comparer - String Comparison Component

Am Prinzip, léist dëse Package bal all Problemer am Zesummenhang mat dësem Beräich.

Fiddler
Fiddler - Fiddler ass en Debugging Proxy deen all HTTP(S) Traffic protokolléiert. Erlaabt Iech dëse Traffic z'ënnersichen, Breakpunkten ze setzen an "Spill" mat erakommen oder erausginn Daten.

Et gëtt och Feierschof, Monster Wireshark an anerer, de Choix ass un de Benotzer.

Konklusioun

Natierlech huet all Pentester säin eegent Arsenal a seng eege Set vun Utilities, well et einfach vill vun hinnen sinn. Ech hu probéiert e puer vun de bequemsten a populärsten ze lëschten. Awer fir datt jidderee sech mat aneren Utilitys an dëser Richtung vertraut ka ginn, ginn ech Linken hei drënner.

Verschidde Tops / Lëschte vu Scanner an Utilities

Sécherheet an Hacking Tools
Top 100 Network Security Tools
Top 10 Web Vulnerabilitéit Scanner.
Top 10 Schwachstelle Scanner
OWASP Top 10 Tools an Taktiken
Web-baséiert Applikatioun Sécherheet Scanner
Web Applikatioun Sécherheet Scanner Lëscht vun WebAppSec
Infosec Utilities am RDot Forum
Vulnerability Scanner (Wikipedia)

Verdeelungen Linux, déi scho eng ganz Rëtsch verschidden Utilitys fir Pentesting enthalen

aktualiséieren: BurpSuite Dokumentatioun op Russesch vum "Hack4Sec" Team (derbäigesat Anton Kusmin)

PS Mir kënnen net roueg bleiwen iwwer XSpider. Huelt net un der Iwwerpréiwung deel, obwuel et Shareware ass (Ech hunn erausfonnt wéi ech den Artikel op SecLab geschéckt hunn, eigentlech wéinst dësem (net Wëssen, a Mangel un der leschter Versioun 7.8) an huet et net am Artikel abegraff). An an der Theorie war eng Iwwerpréiwung dervun geplangt (ech hu schwiereg Tester dofir virbereet), awer ech weess net ob d'Welt et wäert gesinn.

PPS E puer Material aus dem Artikel gëtt fir säin virgesinn Zweck an engem kommende Bericht benotzt CodeFest 2012 an der QA Sektioun, déi Tools enthält déi net hei erwähnt ginn (gratis, natierlech), souwéi den Algorithmus, a wéi enger Uerdnung wat ze benotzen, wat fir eng Resultat ze erwaarden, wéi eng Konfiguratiounen ze benotzen an all Zorte vun Tipps an Tricks wann schaffen (ech denken bal all Dag un de Bericht, ech probéieren Iech alles am Beschten iwwer d'Thema ze soen)
Iwwregens gouf et eng Lektioun iwwer dësen Artikel am Open InfoSec Deeg (Tag op Habré, Websäit), kann d'Korovans beréieren kuckt w.e.g. Materialien.

Source: will.com