🥇Wapiti — vietnei patstāvīgi pārbaudot ievainojamības

Pagātnē raksts mēs runājām par Nemesida WAF bezmaksas - bezmaksas rīks vietņu un API aizsardzībai pret hakeru uzbrukumiem, un šajā rīkā mēs nolēmām pārskatīt populāru ievainojamības skeneri Alnis.

Vietnes ievainojamību skenēšana ir nepieciešams pasākums, kas kopā ar avota koda analīzi ļauj novērtēt tās drošības līmeni pret kompromitēšanas draudiem. Varat skenēt tīmekļa resursu, izmantojot specializētus rīkus.

Nikto, W3af (rakstīts Python 2.7, kas vairs netiek atbalstīts) vai Arachni (vairs netiek atbalstīts kopš februāra) ir populārākie risinājumi, kas tiek piedāvāti bezmaksas segmentā. Protams, ir arī citi, piemēram, Wapiti, kam nolēmām pievērsties.

Wapiti darbojas ar šāda veida ievainojamībām:

failu paplašināšana (lokālais un attālais, fopen, readfile);
injekcijas (PHP / JSP / ASP / SQL injekcija un XPath injekcija);
XSS (Cross Site Scripting) (atstarojošs un noturīgs);
komandu noteikšana un izpilde (eval(), system(), passtru());
CRLF injekcijas (HTTP atbildes sadalīšana, sesijas fiksācija);
XXE (XML ārējās entītijas) iegulšana;
SSRF (Server Side Request Forgery);
zināmu potenciāli bīstamu failu izmantošana (pateicoties Nikto datubāzei);
vājas .htaccess konfigurācijas, kuras var apiet;
rezerves failu klātbūtne, kas atklāj konfidenciālu informāciju (avota koda izpaušana);
Shellshock;
atvērt novirzīšanu;
nestandarta HTTP metodes, kuras var atrisināt (PUT).

Funkcijas:

HTTP, HTTPS un SOCKS5 starpniekservera atbalsts;
autentifikācija, izmantojot vairākas metodes: Basic, Digest, Kerberos vai NTLM;
iespēja ierobežot skenēšanas apgabalu (domēns, mape, lapa, URL);
automātiska viena parametra noņemšana URL;
vairāki piesardzības pasākumi pret nebeidzamām skenēšanas cilpām (piemēram: ifor, parametra ierobežojošās vērtības);
iespēja iestatīt prioritāti URL pārbaudei (pat ja tie neatrodas skenēšanas zonā);
iespēja izslēgt dažus URL no skenēšanas un uzbrukumiem (piemēram: URL atteikšanās);
importēt sīkfailus (iegūstiet tos, izmantojot wapiti-getcookie rīku);
iespēja aktivizēt/deaktivizēt SSL sertifikāta verifikāciju;
iespēja iegūt URL no JavaScript (ļoti vienkāršs JS tulks);
mijiedarbība ar HTML5;
vairākas iespējas, kā pārvaldīt rāpuļprogrammas uzvedību un ierobežojumus;
skenēšanas procesa maksimālā laika iestatīšana;
pievienot dažas pielāgotas HTTP galvenes vai iestatīt pielāgotu lietotāja aģentu.

Papildu iespējas:

ievainojamības ziņojumu veidošana dažādos formātos (HTML, XML, JSON, TXT);
skenēšanas vai uzbrukuma apturēšana un atsākšana (sesijas mehānisms, izmantojot SQLite3 datu bāzes);
fona apgaismojums terminālī, lai izceltu ievainojamības;
dažādi mežizstrādes līmeņi;
Ātrs un vienkāršs veids, kā aktivizēt/deaktivizēt uzbrukuma moduļus.

Uzstādīšana

Pašreizējo Wapiti versiju var instalēt divos veidos:

lejupielādējiet avotu no oficiālā сайта un palaist instalācijas skriptu, iepriekš instalējot Python3;
izmantojot komandu pip3 install wapiti3.

Pēc tam Wapiti būs gatavs darbam.

Darbs ar instrumentu

Wapiti darba demonstrēšanai izmantosim īpaši sagatavotu stendu sites.vulns.pentestit.ru (iekšējais resurss), kas satur dažādas ievainojamības (Injection, XSS, LFI/RFI) un citus tīmekļa aplikāciju trūkumus.

Informācija tiek sniegta tikai informatīviem nolūkiem. Nepārkāp likumu!

Pamata komanda skenera palaišanai:

# wapiti -u <target> <options>

Tajā pašā laikā ir diezgan detalizēta palīdzība ar daudzām palaišanas opcijām, piemēram:

-- joma - pielietojuma zona
Ja norādāt tvēruma parametru kopā ar rāpuļprogrammas URL, varat pielāgot vietnes pārmeklēšanas apgabalu, norādot gan vienu lapu, gan visas vietnē atrodamās lapas.

-s и -x — iespējas pievienot vai noņemt konkrētus URL. Šīs opcijas ir noderīgas, ja pārmeklēšanas procesa laikā jāpievieno vai jānoņem konkrēts URL.

-- izlaist — norādītais parametrs ar šo atslēgu tiks skenēts, bet netiks uzbrukts. Noderīgi, ja ir kādi bīstami parametri, kurus vislabāk izslēgt skenēšanas laikā.

--verify-ssl — iespējot vai atspējot sertifikāta verifikāciju.
Wapiti skeneris ir modulārs. Tomēr, lai palaistu noteiktus moduļus, tostarp tos, kas tiek automātiski savienoti skenera darbības laikā, jums ir jāizmanto slēdzis -m un jānorāda nepieciešamie moduļi, atdalot tos ar komatiem. Ja atslēga netiek izmantota, visi moduļi darbosies pēc noklusējuma. Vienkāršākajā versijā tas izskatīsies šādi:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Šis lietošanas piemērs nozīmē, ka, skenējot mērķi, mēs izmantosim tikai SQL, XSS un XXE moduļus. Turklāt jūs varat filtrēt moduļu darbību atkarībā no vēlamās metodes. Piemēram -m “xss: iegūt, blindsql: izlikt, xxe: izlikt”. Šajā gadījumā modulis xss attieksies uz pieprasījumiem, kas nosūtīti, izmantojot GET metodi, un moduli blibdsql - uz POST pieprasījumiem utt. Starp citu, ja kāds modulis, kas bija iekļauts sarakstā, skenēšanas laikā nebija vajadzīgs vai aizņem ļoti ilgu laiku, tad, nospiežot kombināciju Ctrl+C, var izlaist pašreizējā moduļa lietošanu, interaktīvajā izvēlnē atlasot atbilstošo vienumu.

Wapiti atbalsta pieprasījumu pārsūtīšanu caur starpniekserveri, izmantojot atslēgu -p un autentifikācija mērķa vietnē, izmantojot parametru -a. Varat arī norādīt autentifikācijas veidu: Pamata, Sagremot, Kerberos и NTLM. Pēdējiem diviem var būt nepieciešams instalēt papildu moduļus. Turklāt pieprasījumos varat ievietot jebkuras galvenes (tostarp patvaļīgas User-Agent) un daudz vairāk.

Lai izmantotu autentifikāciju, varat izmantot rīku wapiti-getcookie. Ar tās palīdzību mēs veidojam cepums, ko Wapiti izmantos skenēšanas laikā. Veidošanās cepums darīts ar komandu:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

Strādājot interaktīvi, mēs atbildam uz jautājumiem un norādām nepieciešamo informāciju, piemēram, pieteikumvārdu, paroli utt.:

Izvade ir fails JSON formātā. Vēl viena iespēja ir pievienot visu nepieciešamo informāciju, izmantojot parametru -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Rezultāts būs līdzīgs:

Apsverot skenera galveno funkcionalitāti, mūsu gadījumā pēdējais tīmekļa lietojumprogrammas testēšanas pieprasījums bija:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

kur starp citiem parametriem:

-f и -o — atskaites saglabāšanas formāts un ceļš;

-m — nav ieteicams savienot visus moduļus, jo ietekmēs pārbaudes laiku un atskaites lielumu;

-- krāsa — izcelt atrastās ievainojamības atkarībā no to kritiskuma saskaņā ar pašu Wapiti;

-c - izmantojot failu ar cepums, ģenerēts, izmantojot wapiti-getcookie;

-- joma — uzbrukuma mērķa izvēle. Izvēloties opciju mape Katrs URL tiks pārmeklēts un uzbrukts, sākot ar pamata URL. Pamata URL ir jābūt slīpsvītrai uz priekšu (bez faila nosaukuma);

-- skalošanas sesija — ļauj veikt atkārtotu skenēšanu, kurā iepriekšējie rezultāti netiks ņemti vērā;

-A - savējie User-Agent;

-p — starpniekservera adrese, ja nepieciešams.

Mazliet par atskaiti

Skenēšanas rezultāts tiek parādīts detalizēta ziņojuma veidā par visām atrastajām ievainojamībām HTML lapas formātā, skaidrā un viegli lasāmā formā. Ziņojumā tiks norādītas atrasto ievainojamību kategorijas un skaits, to apraksti, pieprasījumi, komandas cirtot un padomi, kā tos aizvērt. Lai atvieglotu navigāciju, kategoriju nosaukumiem tiks pievienota saite, uz kuras noklikšķinot uz tās var pāriet:

Būtisks ziņojuma trūkums ir tīmekļa lietojumprogrammu kartes kā tādas neesamība, bez kuras nebūs skaidrs, vai visas adreses un parametri ir analizēti. Pastāv arī viltus pozitīvu rezultātu iespējamība. Mūsu gadījumā pārskatā ir iekļauti “dublējuma faili” un “potenciāli bīstami faili”. To skaits neatbilst realitātei, jo serverī nebija šādu failu:

Iespējams, nepareizi strādājoši moduļi laika gaitā tiks salaboti. Vēl viens ziņojuma trūkums ir atrasto ievainojamību krāsojuma trūkums (atkarībā no to kritiskuma) vai vismaz to sadalīšana kategorijās. Vienīgais veids, kā mēs varam netieši saprast atrastās ievainojamības kritiskumu, ir izmantot parametru -- krāsa skenēšanas laikā, un pēc tam atrastās ievainojamības tiks iekrāsotas dažādās krāsās:

Bet pats ziņojums nesniedz šādu krāsojumu.

Ievainojamības

SQLi

Skeneris daļēji tika galā ar SQLi meklēšanu. Meklējot SQL ievainojamības lapās, kur autentifikācija nav nepieciešama, problēmas nerodas:

Nevarēja atrast ievainojamību lapās, kurām var piekļūt tikai pēc autentifikācijas, pat izmantojot derīgu cepums, jo visticamāk pēc veiksmīgas autentifikācijas viņu sesija tiks “atrakstīta” un cepums kļūs nederīgs. Ja autorizācijas atcelšanas funkcija tiktu ieviesta kā atsevišķs skripts, kas ir atbildīgs par šīs procedūras apstrādi, tad to būtu iespējams pilnībā izslēgt, izmantojot parametru -x, un tādējādi novērst tās aktivizēšanu. Pretējā gadījumā nebūs iespējams izslēgt tā apstrādi. Tā nav problēma ar konkrētu moduli, bet gan ar rīku kopumā, taču šīs nianses dēļ slēgtā resursa zonā nebija iespējams noteikt vairākas injekcijas.

XSS

Skeneris lieliski tika galā ar doto uzdevumu un atrada visas sagatavotās ievainojamības:

LFI/RFI

Skeneris atrada visas pamatā esošās ievainojamības:

Kopumā, neskatoties uz viltus pozitīviem rezultātiem un trūkstošajām ievainojamībām, Wapiti kā bezmaksas rīks uzrāda diezgan labus veiktspējas rezultātus. Jebkurā gadījumā ir vērts atzīt, ka skeneris ir diezgan jaudīgs, elastīgs un daudzfunkcionāls, un, pats galvenais, tas ir bezmaksas, tāpēc to ir tiesības izmantot, lai palīdzētu administratoriem un izstrādātājiem iegūt pamatinformāciju par tīmekļa drošības statusu. pieteikumu.

Esiet veseli un aizsargāti!

Avots: www.habr.com

Wapiti - vietnei atsevišķi tiek pārbaudītas ievainojamības