Pārskats par bezmaksas rīkiem tīmekļa resursu pirmstestēšanai un citiem v2

Pirms kāda laika es rakstīju par šis, bet nedaudz skopi un haotiski. Pēc tam es nolēmu paplašināt apskata rīku sarakstu, pievienot rakstam struktūru un ņemt vērā kritiku (liels paldies Lefty lai saņemtu padomu) un nosūtīja to konkursam vietnē SecLab (un publicēja saite, taču acīmredzamu iemeslu dēļ neviens viņu neredzēja). Konkurss noslēdzies, rezultāti paziņoti un ar tīru sirdsapziņu varu to (rakstu) publicēt Habrē.

Bezmaksas tīmekļa lietojumprogrammu Pentester rīki

Šajā rakstā es runāšu par populārākajiem rīkiem tīmekļa lietojumprogrammu pentestēšanai (iekļūšanas testiem), izmantojot “melnās kastes” stratēģiju.
Lai to izdarītu, mēs apskatīsim utilītas, kas palīdzēs veikt šāda veida testēšanu. Apsveriet šādas produktu kategorijas:

1. Tīkla skeneri
2. Tīmekļa skriptu pārkāpumu skeneri
3. Ekspluatācija
4. Injekciju automatizācija
5. Atkļūdotāji (sniffers, vietējie starpniekserveri utt.)

Dažiem produktiem ir universāls “raksturs”, tāpēc es tos klasificēšu kategorijā, kurā tiem ir aоlabāks rezultāts (subjektīvs viedoklis).

Tīkla skeneri.

Galvenais uzdevums ir atklāt pieejamos tīkla pakalpojumus, instalēt to versijas, noteikt OS utt.

Nmap
Nmap ("Tīkla kartētājs") ir bezmaksas atvērtā koda utilīta tīkla analīzei un sistēmas drošības auditam. Vardarbīgi konsoles pretinieki var izmantot Zenmap, kas ir Nmap GUI.
Tas nav tikai “gudrs” skeneris, tas ir nopietns paplašināms rīks (viena no “neparastajām funkcijām” ir skripta klātbūtne, lai pārbaudītu mezglu, vai nav tārpa.Stuxnet" (minēts šeit). Tipisks lietošanas piemērs:

nmap -A -T4 localhost

-A OS versijas noteikšanai, skriptu skenēšanai un izsekošana
-T4 laika kontroles iestatījums (vairāk, jo ātrāk, no 0 līdz 5)
localhost — mērķa saimniekdators
Kaut kas stingrāks?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Šis ir opciju kopums no Zenmap profila "lēna visaptveroša skenēšana". Tas aizņem diezgan ilgu laiku, lai pabeigtu, bet galu galā sniedz detalizētāku informāciju, ko var uzzināt par mērķa sistēmu. Palīdzības ceļvedis krievu valodā, ja nolemjat iedziļināties, iesaku arī iztulkot rakstu Nmap rokasgrāmata iesācējiem.
Nmap ir saņēmis "Gada drošības produkta" statusu no tādiem žurnāliem un kopienām kā Linux Journal, Info World, LinuxQuestions.Org un Codetalker Digest.
Interesants moments, Nmap var redzēt filmās “The Matrix Reloaded”, “Die Hard 4”, “The Bourne Ultimatum”, “Hottabych” un cits.

IP-Tools
IP-Tools - sava veida dažādu tīkla utilītu komplekts, kas tiek piegādāts ar GUI, kas ir “veltīts” Windows lietotājiem.
Portu skeneris, koplietojamie resursi (koplietojamie printeri/mapes), WhoIs/Finger/Lookup, Telnet klients un daudz kas cits. Vienkārši ērts, ātrs, funkcionāls rīks.

Nav īpašas jēgas apsvērt citus produktus, jo šajā jomā ir daudz komunālo pakalpojumu, un tiem visiem ir līdzīgi darbības principi un funkcionalitāte. Tomēr nmap joprojām ir visizplatītākā.

Tīmekļa skriptu pārkāpumu skeneri

Mēģinājums atrast populāras ievainojamības (SQL inj, XSS, LFI/RFI utt.) vai kļūdas (nav dzēsti pagaidu faili, direktoriju indeksēšana utt.)

Acunetix Web ievainojamības skeneris
Acunetix Web ievainojamības skeneris — no saites var redzēt, ka šis ir xss skeneris, taču tā nav gluži taisnība. Šeit pieejamā bezmaksas versija nodrošina diezgan daudz funkcionalitātes. Parasti persona, kas pirmo reizi palaiž šo skeneri un pirmo reizi saņem ziņojumu par savu resursu, piedzīvo vieglu šoku, un jūs sapratīsit, kāpēc to izdarīsit. Šis ir ļoti spēcīgs produkts visu veidu ievainojamību analīzei vietnē un darbojas ne tikai ar parastajām PHP vietnēm, bet arī citās valodās (lai gan valodas atšķirības nav rādītājs). Nav īpašas jēgas aprakstīt instrukcijas, jo skeneris vienkārši “uztver” lietotāja darbības. Kaut kas līdzīgs “nākamais, nākamais, nākamais, gatavs” tipiskā programmatūras instalācijā.

Nikto
Nikto Šī ir atvērtā koda (GPL) tīmekļa rāpuļprogramma. Novērš parasto roku darbu. Mērķa vietnē meklē neizdzēstos skriptus (daži test.php, index_.php utt.), datu bāzes administrēšanas rīkus (/phpmyadmin/, /pma un tamlīdzīgi) utt., tas ir, pārbauda resursā visbiežāk sastopamās kļūdas. parasti izraisa cilvēka faktori.
Turklāt, ja tiek atrasts kāds populārs skripts, tas pārbauda, ​​vai tajā nav izlaistas darbības (kas atrodas datu bāzē).
Ziņo par pieejamām "nevēlamām" metodēm, piemēram, PUT un TRACE
Un tā tālāk. Tas ir ļoti ērti, ja strādājat par auditoru un katru dienu analizējat vietnes.
No mīnusiem es vēlētos atzīmēt lielo viltus pozitīvu rezultātu procentu. Piemēram, ja jūsu vietne vienmēr norāda galveno kļūdu, nevis kļūdu 404 (kad tai vajadzētu notikt), skeneris paziņos, ka jūsu vietnē ir visi skripti un visas ievainojamības no tās datu bāzes. Praksē tas nenotiek tik bieži, taču patiesībā daudz kas ir atkarīgs no jūsu vietnes struktūras.
Klasisks lietojums:

./nikto.pl -host localhost

Ja jums ir nepieciešama atļauja vietnē, varat iestatīt sīkfailu failā nikto.conf — mainīgo STATIC-COOKIE.

Wikto
Wikto — Nikto operētājsistēmai Windows, bet ar dažiem papildinājumiem, piemēram, “neskaidra” loģika, pārbaudot kodu, vai nav kļūdu, izmantojot GHDB, iegūstot saites un resursu mapes, reāllaika HTTP pieprasījumu/atbilžu uzraudzību. Wikto ir rakstīts C# un prasa .NET ietvaru.

skipfish
skipfish - tīmekļa ievainojamības skeneris no Mihals Zaļevskis (pazīstams kā lcamtuf). Rakstīts C valodā, starpplatformu (Win prasa Cygwin). Rekursīvi (un ļoti ilgu laiku, apmēram 20–40 stundas, lai gan pēdējo reizi tas man darbojās 96 stundas) tas pārmeklē visu vietni un atrod visu veidu drošības caurumus. Tas arī rada lielu trafiku (vairāki GB ienākošie/izejošie). Bet visi līdzekļi ir labi, it īpaši, ja jums ir laiks un līdzekļi.
Tipisks lietojums:

./skipfish -o /home/reports www.example.com

Mapē “Pārskati” būs pārskats html formātā, piemērs.

w3af
w3af — Web Application Attack and Audit Framework, atvērtā koda tīmekļa ievainojamības skeneris. Tam ir GUI, taču jūs varat strādāt no konsoles. Precīzāk, tas ir karkass ar daudz spraudņu.
Par tā priekšrocībām var runāt ilgi, labāk pamēģināt :] Tipisks darbs ar to ir profila izvēle, mērķa norādīšana un patiesībā tā palaišana.

Mantra drošības sistēma
Mantra ir sapnis, kas piepildījās. Bezmaksas un atvērtu informācijas drošības rīku kolekcija, kas iebūvēta tīmekļa pārlūkprogrammā.
Ļoti noderīgi, pārbaudot tīmekļa lietojumprogrammas visos posmos.
Izmantošana ir saistīta ar pārlūkprogrammas instalēšanu un palaišanu.

Patiesībā šajā kategorijā ir daudz utilītu, un no tiem ir diezgan grūti izvēlēties konkrētu sarakstu. Visbiežāk katrs pentesters pats nosaka sev nepieciešamo rīku komplektu.

Ekspluatācija

Automatizētai un ērtākai ievainojamību izmantošanai exploiti tiek rakstīti programmatūrā un skriptos, kuriem ir tikai jānodod parametri, lai izmantotu drošības caurumu. Ir produkti, kas novērš nepieciešamību manuāli meklēt un pat lietot tos lidojuma laikā. Šī kategorija tagad tiks apspriesta.

Metasploit sistēma
Metasploit® sistēma - sava veida briesmonis mūsu biznesā. Viņš var izdarīt tik daudz, ka instrukcijas aptvers vairākus rakstus. Mēs apskatīsim automātisko izmantošanu (nmap + metasploit). Secinājums ir šāds: Nmap analizēs mums nepieciešamo portu, instalēs pakalpojumu, un metasploit mēģinās tam piemērot izlietojumus, pamatojoties uz pakalpojumu klasi (ftp, ssh utt.). Teksta instrukciju vietā ievietošu video, diezgan populāru par tēmu autopwn

Vai arī mēs varam vienkārši automatizēt vajadzīgās izmantošanas darbību. Piemēram:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run

Patiesībā šī ietvara iespējas ir ļoti plašas, tādēļ, ja nolemjat iedziļināties, dodieties uz saite

Armitage
Armitage — kiberpanka žanra GUI OVA programmai Metasploit. Vizualizē mērķi, iesaka ekspluatācijas veidus un nodrošina uzlabotas ietvara funkcijas. Vispār tiem, kam patīk viss izskatīties skaisti un iespaidīgi.
Ekrāna pārraide:

Izturīgs Nessus®
Izturīgs Nessus® ievainojamības skeneris - var darīt daudzas lietas, taču viena no iespējām, kas mums nepieciešama, ir noteikt, kuriem pakalpojumiem ir priekšrocības. Produkta bezmaksas versija “tikai mājās”

Использование:

• Lejupielādēts (jūsu sistēmai), instalēts, reģistrēts (atslēga tiek nosūtīta uz jūsu e-pastu).
• Startēja serveri, pievienoja lietotāju Nessus Server Manager (poga Pārvaldīt lietotājus)
• Mēs ejam uz adresi

  https://localhost:8834/

  un iegūstiet Flash klientu pārlūkprogrammā

• Skenē -> Pievienot -> aizpildiet laukus (izvēloties mums piemērotu skenēšanas profilu) un noklikšķiniet uz Skenēt

Pēc kāda laika skenēšanas atskaite parādīsies cilnē Pārskati
Lai pārbaudītu pakalpojumu praktisko neaizsargātību pret ļaunprātīgām darbībām, varat izmantot iepriekš aprakstīto Metasploit Framework vai mēģināt atrast ļaunprātīgu izmantošanu (piemēram, Explot-db, pakešu vētra, Explot meklēšana utt.) un izmantojiet to manuāli pret tā sistēma
IMHO: pārāk apjomīgs. Es viņu izvirzīju kā vienu no līderiem šajā programmatūras industrijas virzienā.

Injekciju automatizācija

Daudzi tīmekļa lietotņu sec skeneri meklē injekcijas, taču tie joprojām ir tikai vispārīgi skeneri. Un ir utilītas, kas īpaši nodarbojas ar injekciju meklēšanu un izmantošanu. Par tiem mēs tagad runāsim.

sqlmap
sqlmap — atvērtā koda utilīta SQL injekciju meklēšanai un izmantošanai. Atbalsta datu bāzes serverus, piemēram: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Tipisks lietojums ir šāds:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Rokasgrāmatu ir pietiekami daudz, arī krievu valodā. Programmatūra ievērojami atvieglo pentestera darbu, strādājot šajā jomā.
Pievienošu oficiālu video demonstrāciju:

bsqlbf-v2
bsqlbf-v2 — perl skripts, rupjš forsētājs “aklajām” SQL injekcijām. Tas darbojas gan ar veselu skaitļu vērtībām URL, gan ar virknes vērtībām.
Atbalstīta datu bāze:

• MS-SQL
• MySQL
• PostgreSQL
• Orākuls

Lietošanas piemērs:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

-url www.somehost.com/blah.php?u=5 — Saikne ar parametriem
- akls u — injekcijas parametrs (pēc noklusējuma pēdējais tiek ņemts no adreses joslas)
-sql "atlasīt tabulas_nosaukumu no imformation_schema.tables limita 1 nobīde 0" — mūsu patvaļīgais pieprasījums datubāzei
- datu bāze 1 — datu bāzes serveris: MSSQL
- 1. veids — uzbrukuma veids, “akla” injekcija, pamatojoties uz True un Error (piemēram, sintakses kļūdas) atbildēm

Atkļūdotāji

Šos rīkus galvenokārt izmanto izstrādātāji, ja viņiem ir problēmas ar koda izpildes rezultātiem. Bet šis virziens ir noderīgs arī pentestēšanai, kad mēs varam aizstāt nepieciešamos datus lidojuma laikā, analizēt to, kas nāk, reaģējot uz mūsu ievades parametriem (piemēram, izplūdes laikā) utt.

Burp Suite
Burp Suite — utilītu komplekts, kas palīdz veikt iespiešanās testus. Tas ir internetā labs apskats krievu valodā no Raz0r (lai gan 2008. gadam).
Bezmaksas versijā ietilpst:

• Burp Proxy ir vietējais starpniekserveris, kas ļauj modificēt jau ģenerētos pieprasījumus no pārlūkprogrammas
• Burp Spider - zirneklis, meklē esošos failus un direktorijus
• Burp Repeater - manuāla HTTP pieprasījumu nosūtīšana
• Burp Sequencer - nejaušo vērtību analīze formās
• Burp Decoder ir standarta kodētājs-dekodētājs (html, base64, hex uc), kuru ir tūkstošiem un kurus var ātri uzrakstīt jebkurā valodā
• Burp Comparer — stīgu salīdzināšanas komponents

Principā šī pakete atrisina gandrīz visas ar šo jomu saistītās problēmas.

vijolnieks
vijolnieks — Fiddler ir atkļūdošanas starpniekserveris, kas reģistrē visu HTTP(S) trafiku. Ļauj pārbaudīt šo trafiku, iestatīt pārtraukuma punktus un “spēlēt” ar ienākošajiem vai izejošajiem datiem.

Ir arī Ugunsaita, briesmonis Wireshark un citi, izvēle ir lietotāja ziņā.

Secinājums

Protams, katram pentesteram ir savs arsenāls un savs utilītu komplekts, jo to vienkārši ir daudz. Es mēģināju uzskaitīt dažus no ērtākajiem un populārākajiem. Bet, lai ikviens varētu iepazīties ar citiem komunālajiem pakalpojumiem šajā virzienā, es sniegšu saites zemāk.

Dažādi skeneru un utilītu topi/saraksti

• Drošības un uzlaušanas rīki
• 100 populārākie tīkla drošības rīki
• 10 populārākie tīmekļa ievainojamības skeneri.
• 10 populārākie ievainojamības skeneri
• OWASP 10 populārākie rīki un taktikas
• Tīmekļa lietojumprogrammu drošības skeneri
• WebAppSec tīmekļa lietojumprogrammu drošības skeneru saraksts
• Infosec utilītas RDot forumā
• Ievainojamības skeneri (Wikipedia)

Linux izplatījumi, kas jau ietver virkni dažādu pārbaudes utilītu

• BackTrack
• Pentoo
• VĀJĀK
• Backbuntu

atjaunināt: BurpSuite dokumentācija krievu valodā no “Hack4Sec” komandas (pievienots Antons Kuzmins)

PS Mēs nevaram klusēt par XSpider. Pārskatīšanā nepiedalās, lai gan tā ir shareware (uzzināju, kad nosūtīju rakstu SecLab, patiesībā tāpēc (nav zināšanas, un jaunākās versijas 7.8 trūkums) un rakstā neiekļāvu). Un teorētiski bija plānots to pārskatīt (man tam ir sagatavoti grūti pārbaudījumi), bet es nezinu, vai pasaule to redzēs.

PPS Daži materiāli no raksta tiks izmantoti paredzētajam mērķim gaidāmajā ziņojumā plkst CodeFest 2012 QA sadaļā, kurā būs šeit neminēti rīki (bezmaksas, protams), kā arī algoritms, kādā secībā ko lietot, kāds rezultāts gaidāms, kādas konfigurācijas izmantot un visādi padomi un triki, kad strādāju (par referātu domāju gandrīz katru dienu , centīšos pastāstīt visu to labāko par tēmas tēmu)
Starp citu, par šo rakstu bija nodarbība plkst Atvērtās InfoSec dienas (tag Habré, mājas lapa), var aplaupīt koroviešus Paskaties Materiāli.

Avots: www.habr.com