Pirms kāda laika es rakstīju par , bet nedaudz skopi un haotiski. Pēc tam es nolēmu paplašināt apskata rīku sarakstu, pievienot rakstam struktūru un ņemt vērā kritiku (liels paldies lai saņemtu padomu) un nosūtīja to konkursam vietnē SecLab (un publicēja , taču acīmredzamu iemeslu dēļ neviens viņu neredzēja). Konkurss noslēdzies, rezultāti paziņoti un ar tīru sirdsapziņu varu to (rakstu) publicēt Habrē.
Bezmaksas tīmekļa lietojumprogrammu Pentester rīki
Šajā rakstā es runāšu par populārākajiem rīkiem tīmekļa lietojumprogrammu pentestēšanai (iekļūšanas testiem), izmantojot “melnās kastes” stratēģiju.
Lai to izdarītu, mēs apskatīsim utilītas, kas palīdzēs veikt šāda veida testēšanu. Apsveriet šādas produktu kategorijas:
- Tīkla skeneri
- Tīmekļa skriptu pārkāpumu skeneri
- Ekspluatācija
- Injekciju automatizācija
- Atkļūdotāji (sniffers, vietējie starpniekserveri utt.)
Dažiem produktiem ir universāls “raksturs”, tāpēc es tos klasificēšu kategorijā, kurā tiem ir aоlabāks rezultāts (subjektīvs viedoklis).
Tīkla skeneri.
Galvenais uzdevums ir atklāt pieejamos tīkla pakalpojumus, instalēt to versijas, noteikt OS utt.
Nmap
ir bezmaksas atvērtā koda utilīta tīkla analīzei un sistēmas drošības auditam. Vardarbīgi konsoles pretinieki var izmantot Zenmap, kas ir Nmap GUI.
Tas nav tikai “gudrs” skeneris, tas ir nopietns paplašināms rīks (viena no “neparastajām funkcijām” ir skripta klātbūtne, lai pārbaudītu mezglu, vai nav tārpa." (minēts ). Tipisks lietošanas piemērs:
nmap -A -T4 localhost
-A OS versijas noteikšanai, skriptu skenēšanai un izsekošana
-T4 laika kontroles iestatījums (vairāk, jo ātrāk, no 0 līdz 5)
localhost — mērķa saimniekdators
Kaut kas stingrāks?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Šis ir opciju kopums no Zenmap profila "lēna visaptveroša skenēšana". Tas aizņem diezgan ilgu laiku, lai pabeigtu, bet galu galā sniedz detalizētāku informāciju, ko var uzzināt par mērķa sistēmu. , ja nolemjat iedziļināties, iesaku arī iztulkot rakstu .
Nmap ir saņēmis “Gada drošības produkta” statusu no tādiem žurnāliem un biedrībām kā Linux Žurnāls, Informācijas pasaule, LinuxQuestions.Org un Codetalker Digest.
Interesants moments, Nmap var redzēt filmās “The Matrix Reloaded”, “Die Hard 4”, “The Bourne Ultimatum”, “Hottabych” un .
IP-Tools
- sava veida dažādu tīkla utilītu komplekts, kas tiek piegādāts ar GUI, kas ir “veltīts” Windows lietotājiem.
Portu skeneris, koplietojamie resursi (koplietojamie printeri/mapes), WhoIs/Finger/Lookup, Telnet klients un daudz kas cits. Vienkārši ērts, ātrs, funkcionāls rīks.
Nav īpašas jēgas apsvērt citus produktus, jo šajā jomā ir daudz komunālo pakalpojumu, un tiem visiem ir līdzīgi darbības principi un funkcionalitāte. Tomēr nmap joprojām ir visizplatītākā.
Tīmekļa skriptu pārkāpumu skeneri
Mēģinājums atrast populāras ievainojamības (SQL inj, XSS, LFI/RFI utt.) vai kļūdas (nav dzēsti pagaidu faili, direktoriju indeksēšana utt.)
Acunetix Web ievainojamības skeneris
— no saites var redzēt, ka šis ir xss skeneris, taču tā nav gluži taisnība. Šeit pieejamā bezmaksas versija nodrošina diezgan daudz funkcionalitātes. Parasti persona, kas pirmo reizi palaiž šo skeneri un pirmo reizi saņem ziņojumu par savu resursu, piedzīvo vieglu šoku, un jūs sapratīsit, kāpēc to izdarīsit. Šis ir ļoti spēcīgs produkts visu veidu ievainojamību analīzei vietnē un darbojas ne tikai ar parastajām PHP vietnēm, bet arī citās valodās (lai gan valodas atšķirības nav rādītājs). Nav īpašas jēgas aprakstīt instrukcijas, jo skeneris vienkārši “uztver” lietotāja darbības. Kaut kas līdzīgs “nākamais, nākamais, nākamais, gatavs” tipiskā programmatūras instalācijā.
Nikto
Šī ir atvērtā koda (GPL) tīmekļa rāpuļprogramma. Novērš parasto roku darbu. Mērķa vietnē meklē neizdzēstos skriptus (daži test.php, index_.php utt.), datu bāzes administrēšanas rīkus (/phpmyadmin/, /pma un tamlīdzīgi) utt., tas ir, pārbauda resursā visbiežāk sastopamās kļūdas. parasti izraisa cilvēka faktori.
Turklāt, ja tiek atrasts kāds populārs skripts, tas pārbauda, vai tajā nav izlaistas darbības (kas atrodas datu bāzē).
Ziņo par pieejamām "nevēlamām" metodēm, piemēram, PUT un TRACE
Un tā tālāk. Tas ir ļoti ērti, ja strādājat par auditoru un katru dienu analizējat vietnes.
No mīnusiem es vēlētos atzīmēt lielo viltus pozitīvu rezultātu procentu. Piemēram, ja jūsu vietne vienmēr norāda galveno kļūdu, nevis kļūdu 404 (kad tai vajadzētu notikt), skeneris paziņos, ka jūsu vietnē ir visi skripti un visas ievainojamības no tās datu bāzes. Praksē tas nenotiek tik bieži, taču patiesībā daudz kas ir atkarīgs no jūsu vietnes struktūras.
Klasisks lietojums:
./nikto.pl -host localhost
Ja jums ir nepieciešama atļauja vietnē, varat iestatīt sīkfailu failā nikto.conf — mainīgo STATIC-COOKIE.
Wikto
- Nikto zem Windows, bet ar dažiem papildinājumiem, piemēram, neskaidru loģiku kļūdu pārbaudei, GHDB izmantošanai, resursu saišu un mapju izguvei un HTTP pieprasījumu/atbilžu uzraudzībai reāllaikā. Wikto ir rakstīts C# valodā un prasa .NET ietvaru.
skipfish
- tīmekļa ievainojamības skeneris no (pazīstams kā lcamtuf). Rakstīts C valodā, starpplatformu (Win prasa Cygwin). Rekursīvi (un ļoti ilgu laiku, apmēram 20–40 stundas, lai gan pēdējo reizi tas man darbojās 96 stundas) tas pārmeklē visu vietni un atrod visu veidu drošības caurumus. Tas arī rada lielu trafiku (vairāki GB ienākošie/izejošie). Bet visi līdzekļi ir labi, it īpaši, ja jums ir laiks un līdzekļi.
Tipisks lietojums:
./skipfish -o /home/reports www.example.com
Mapē “Pārskati” būs pārskats html formātā, .
w3af 
— Web Application Attack and Audit Framework, atvērtā koda tīmekļa ievainojamības skeneris. Tam ir GUI, taču jūs varat strādāt no konsoles. Precīzāk, tas ir karkass ar .
Es varētu turpināt un turpināt par tā priekšrocībām, bet labāk ir to izmēģināt :]
Tipisks darbs ar to ir profila izvēle, mērķa norādīšana un, faktiski, tā palaišana.
Mantra drošības sistēma
ir sapnis, kas piepildījās. Bezmaksas un atvērtu informācijas drošības rīku kolekcija, kas iebūvēta tīmekļa pārlūkprogrammā.
Ļoti noderīgi, pārbaudot tīmekļa lietojumprogrammas visos posmos.
Izmantošana ir saistīta ar pārlūkprogrammas instalēšanu un palaišanu.
Patiesībā šajā kategorijā ir daudz utilītu, un no tiem ir diezgan grūti izvēlēties konkrētu sarakstu. Visbiežāk katrs pentesters pats nosaka sev nepieciešamo rīku komplektu.
Ekspluatācija
Automatizētai un ērtākai ievainojamību izmantošanai exploiti tiek rakstīti programmatūrā un skriptos, kuriem ir tikai jānodod parametri, lai izmantotu drošības caurumu. Ir produkti, kas novērš nepieciešamību manuāli meklēt un pat lietot tos lidojuma laikā. Šī kategorija tagad tiks apspriesta.
Metasploit sistēma 
- sava veida briesmonis mūsu biznesā. Viņš var izdarīt tik daudz, ka instrukcijas aptvers vairākus rakstus. Mēs apskatīsim automātisko izmantošanu (nmap + metasploit). Secinājums ir šāds: Nmap analizēs mums nepieciešamo portu, instalēs pakalpojumu, un metasploit mēģinās tam piemērot izlietojumus, pamatojoties uz pakalpojumu klasi (ftp, ssh utt.). Teksta instrukciju vietā ievietošu video, diezgan populāru par tēmu autopwn
Vai arī mēs varam vienkārši automatizēt vajadzīgās izmantošanas darbību. Piemēram:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Patiesībā šī ietvara iespējas ir ļoti plašas, tādēļ, ja nolemjat iedziļināties, dodieties uz
Armitage
— kiberpanka žanra GUI OVA programmai Metasploit. Vizualizē mērķi, iesaka ekspluatācijas veidus un nodrošina uzlabotas ietvara funkcijas. Vispār tiem, kam patīk viss izskatīties skaisti un iespaidīgi.
Ekrāna pārraide:
Izturīgs Nessus®
- var darīt daudzas lietas, taču viena no iespējām, kas mums nepieciešama, ir noteikt, kuriem pakalpojumiem ir priekšrocības. Produkta bezmaksas versija “tikai mājās”
Использование:
- Lejupielādēts (jūsu sistēmai), instalēts, reģistrēts (atslēga tiek nosūtīta uz jūsu e-pastu).
- Startēja serveri, pievienoja lietotāju Nessus Server Manager (poga Pārvaldīt lietotājus)
- Mēs ejam uz adresi
https://localhost:8834/
un iegūstiet Flash klientu pārlūkprogrammā
- Skenē -> Pievienot -> aizpildiet laukus (izvēloties mums piemērotu skenēšanas profilu) un noklikšķiniet uz Skenēt
Pēc kāda laika skenēšanas atskaite parādīsies cilnē Pārskati
Lai pārbaudītu pakalpojumu praktisko neaizsargātību pret ļaunprātīgām darbībām, varat izmantot iepriekš aprakstīto Metasploit Framework vai mēģināt atrast ļaunprātīgu izmantošanu (piemēram, , , utt.) un izmantojiet to manuāli pret tā sistēma
IMHO: pārāk apjomīgs. Es viņu izvirzīju kā vienu no līderiem šajā programmatūras industrijas virzienā.
Injekciju automatizācija
Daudzi tīmekļa lietotņu sec skeneri meklē injekcijas, taču tie joprojām ir tikai vispārīgi skeneri. Un ir utilītas, kas īpaši nodarbojas ar injekciju meklēšanu un izmantošanu. Par tiem mēs tagad runāsim.
sqlmap
— atvērtā koda utilīta SQL injekciju meklēšanai un izmantošanai. Atbalsta datu bāzes serverus, piemēram: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Tipisks lietojums ir šāds:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Rokasgrāmatu ir pietiekami daudz, arī krievu valodā. Programmatūra ievērojami atvieglo pentestera darbu, strādājot šajā jomā.
Pievienošu oficiālu video demonstrāciju:
bsqlbf-v2
— perl skripts, rupjš forsētājs “aklajām” SQL injekcijām. Tas darbojas gan ar veselu skaitļu vērtībām URL, gan ar virknes vērtībām.
Atbalstīta datu bāze:
- MS-SQL
- MySQL
- PostgreSQL
- Orākuls
Lietošanas piemērs:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Saikne ar parametriem
- akls u — injekcijas parametrs (pēc noklusējuma pēdējais tiek ņemts no adreses joslas)
-sql "atlasīt tabulas_nosaukumu no imformation_schema.tables limita 1 nobīde 0" — mūsu patvaļīgais pieprasījums datubāzei
- datu bāze 1 — datu bāzes serveris: MSSQL
- 1. veids — uzbrukuma veids, “akla” injekcija, pamatojoties uz True un Error (piemēram, sintakses kļūdas) atbildēm
Atkļūdotāji
Šos rīkus galvenokārt izmanto izstrādātāji, ja viņiem ir problēmas ar koda izpildes rezultātiem. Bet šis virziens ir noderīgs arī pentestēšanai, kad mēs varam aizstāt nepieciešamos datus lidojuma laikā, analizēt to, kas nāk, reaģējot uz mūsu ievades parametriem (piemēram, izplūdes laikā) utt.
Burp Suite
— utilītu komplekts, kas palīdz veikt iespiešanās testus. Tas ir internetā krievu valodā no Raz0r (lai gan 2008. gadam).
Bezmaksas versijā ietilpst:
- Burp Proxy ir vietējais starpniekserveris, kas ļauj modificēt jau ģenerētos pieprasījumus no pārlūkprogrammas
- Burp Spider - zirneklis, meklē esošos failus un direktorijus
- Burp Repeater - manuāla HTTP pieprasījumu nosūtīšana
- Burp Sequencer - nejaušo vērtību analīze formās
- Burp Decoder ir standarta kodētājs-dekodētājs (html, base64, hex uc), kuru ir tūkstošiem un kurus var ātri uzrakstīt jebkurā valodā
- Burp Comparer — stīgu salīdzināšanas komponents
Principā šī pakete atrisina gandrīz visas ar šo jomu saistītās problēmas.
vijolnieks
— Fiddler ir atkļūdošanas starpniekserveris, kas reģistrē visu HTTP(S) trafiku. Ļauj pārbaudīt šo trafiku, iestatīt pārtraukuma punktus un “spēlēt” ar ienākošajiem vai izejošajiem datiem.
Ir arī , briesmonis un citi, izvēle ir lietotāja ziņā.
Secinājums
Protams, katram pentesteram ir savs arsenāls un savs utilītu komplekts, jo to vienkārši ir daudz. Es mēģināju uzskaitīt dažus no ērtākajiem un populārākajiem. Bet, lai ikviens varētu iepazīties ar citiem komunālajiem pakalpojumiem šajā virzienā, es sniegšu saites zemāk.
Dažādi skeneru un utilītu topi/saraksti
- .
Sadalījumi Linux, kas jau ietver virkni dažādu utilītu iespiešanās testēšanai
atjaunināt: krievu valodā no “Hack4Sec” komandas (pievienots )
PS Mēs nevaram klusēt par XSpider. Pārskatīšanā nepiedalās, lai gan tā ir shareware (uzzināju, kad nosūtīju rakstu SecLab, patiesībā tāpēc (nav zināšanas, un jaunākās versijas 7.8 trūkums) un rakstā neiekļāvu). Un teorētiski bija plānots to pārskatīt (man tam ir sagatavoti grūti pārbaudījumi), bet es nezinu, vai pasaule to redzēs.
PPS Daži materiāli no raksta tiks izmantoti paredzētajam mērķim gaidāmajā ziņojumā plkst 2012 QA sadaļā, kurā būs šeit neminēti rīki (bezmaksas, protams), kā arī algoritms, kādā secībā ko lietot, kāds rezultāts gaidāms, kādas konfigurācijas izmantot un visādi padomi un triki, kad strādāju (par referātu domāju gandrīz katru dienu , centīšos pastāstīt visu to labāko par tēmas tēmu)
Starp citu, par šo rakstu bija nodarbība plkst Atvērtās InfoSec dienas (, ), var aplaupīt koroviešus Paskaties .
Avots: www.habr.com
