Fitaovana amin'ny Internet, sa aiza no hanombohana ho toy ny pentester?

Manohy izahay miresaka momba ny fitaovana ilaina ho an'ny pentesters. Ao amin'ny lahatsoratra vaovao isika dia hijery fitaovana amin'ny famakafakana ny fiarovana ny fampiharana tranonkala.

Ny mpiara-miasa aminay BeLove Efa nanao toy izao aho fitambaran'ireo tokony ho fito taona lasa izay. Mahaliana ny mahita hoe fitaovana inona no nitazona sy nanamafy ny toerana misy azy, ary iza no nanjavona tao ambadika ary zara raha ampiasaina.


Mariho fa misy ihany koa ny Burp Suite, saingy hisy famoahana manokana momba azy sy ireo plugins mahasoa.

Hevitra ato Anatiny:

• hanangonana
• Altdns
• aquatone
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Weakpass
• AEM_hacker
• JoomScan
• WPScan

hanangonana

hanangonana - fitaovana Go amin'ny fikarohana sy fanisana ny zana-tohatra DNS ary fanaovana sarintany ny tambajotra ivelany. Amass dia tetikasa OWASP natao hanehoana ny endrik'ireo fikambanana amin'ny Internet amin'ny olon-kafa. Mahazo anarana subdomain amin'ny fomba isan-karazany i Amass; Ny fitaovana dia mampiasa ny fanisana miverimberina ny subdomains sy ny fikarohana loharano misokatra.

Mba hahitana ireo ampahan-tambajotra mifamatotra sy laharan'ny rafitra tsy miankina, dia mampiasa adiresy IP azo mandritra ny fandidiana i Amass. Ny fampahalalana rehetra hita dia ampiasaina hanamboarana sarintany tambajotra.

matihanina:

• Ny teknika fanangonana vaovao dia ahitana:
  * DNS - fikarohana diksionera momba ny subdomains, subdomains bruteforce, fikarohana marani-tsaina amin'ny fampiasana mutation mifototra amin'ny subdomains hita, mamadika ny fanontaniana DNS ary mitady mpizara DNS izay ahafahana manao fangatahana famindrana faritra (AXFR);

  * Fikarohana loharano misokatra - Anontanio, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Mitadiava angon-drakitra fanamarinana TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Mampiasa API motera fikarohana - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Mitadiava arisiva Internet: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Fampidirana amin'ny Maltego;
• Manome ny fandrakofana feno indrindra momba ny asa fitadiavana ny subdomains DNS.

maharatsy ny mifampiresaka:

• Mitandrema amin'ny amass.netdomains - hiezaka ny hifandray amin'ny adiresy IP rehetra ao amin'ny fotodrafitrasa voatondro izy io ary hahazo anaran-tsehatra avy amin'ny fitadiavana DNS mivadika sy fanamarinana TLS. Ity dia teknika "avo lenta", afaka manambara ny hetsika fitsikilovanao ao amin'ny fikambanana atao fanadihadiana.
• Ny fanjifana fitadidiana avo lenta, dia afaka mandany hatramin'ny 2 GB an'ny RAM amin'ny toe-javatra samihafa, izay tsy hamela anao hampiasa ity fitaovana ity amin'ny rahona amin'ny VDS mora.

Altdns

Altdns - fitaovana Python amin'ny fanangonana rakibolana hanisa ny zana-tohatra DNS. Mamela anao hamorona karazany maro amin'ny subdomains amin'ny alàlan'ny fiovaovana sy permutation. Noho izany dia ampiasaina ny teny izay matetika hita ao amin'ny zana-tohatra (ohatra: fitsapana, dev, staging), ny fiovana rehetra sy ny permutation dia ampiharina amin'ny subdomain efa fantatra, izay azo apetraka amin'ny fampidirana Altdns. Ny vokatra dia lisitry ny fiovaovan'ny subdomains izay mety misy, ary ity lisitra ity dia azo ampiasaina amin'ny DNS brute force.

matihanina:

• Miasa tsara amin'ny angon-drakitra lehibe.

aquatone

aquatone - teo aloha dia fantatra kokoa amin'ny hoe fitaovana hafa hikarohana subdomains, fa ny mpanoratra mihitsy no nandao an'io noho ilay Amass voalaza teo aloha. Ankehitriny dia naverina nosoratana tamin'ny Go ny aquatone ary miompana kokoa amin'ny fanaraha-maso mialoha amin'ny tranokala. Mba hanaovana izany, ny aquatone dia mandeha amin'ny sehatra voatondro ary mikaroka tranokala amin'ny seranana samihafa, ary avy eo dia manangona ny fampahalalana rehetra momba ilay tranokala ary maka pikantsary. Mety ho an'ny fitsikilovana mialoha haingana ny tranokala, aorian'izay dia azonao atao ny misafidy tanjona laharam-pahamehana amin'ny fanafihana.

matihanina:

• Ny vokatra dia mamorona andian-drakitra sy lahatahiry izay mora ampiasaina rehefa miasa bebe kokoa amin'ny fitaovana hafa:
  * Tatitra HTML misy pikantsary voaangona sy lohatenin'ny valiny navondrona araka ny fitovizana;

  * File iray misy URL rehetra nahitana tranokala;

  * File misy antontan'isa sy angona pejy;

  * Lahatahiry misy rakitra misy lohatenin'ny valiny avy amin'ny tanjona hita;

  * Lahatsary misy rakitra misy ny vatan'ny valinteny avy amin'ireo lasibatra hita;

  * Pikantsarin'ny tranokala hita;

• Manohana miasa amin'ny tatitra XML avy amin'ny Nmap sy Masscan;
• Mampiasa Chrome/Chromium tsy misy lohany hanaovana pikantsary.

maharatsy ny mifampiresaka:

• Mety hisarihana ny sain'ny rafi-pikarohana fidirana izy io, noho izany dia mila fanitsiana.

Ny pikantsary dia nalaina ho an'ny iray amin'ireo dikan-teny taloha amin'ny aquatone (v0.5.0), izay nampiharana ny fikarohana subdomain DNS. Ny dikan-teny taloha dia azo jerena ao amin'ny pejy famoahana.

MassDNS

MassDNS dia fitaovana iray hafa hitadiavana subdomains DNS. Ny maha-samihafa azy dia ny fanaovana fanontaniana DNS mivantana amin'ny mpamadika DNS maro samihafa ary manao izany amin'ny hafainganam-pandeha be.

matihanina:

• Fast - afaka mamaha anarana mihoatra ny 350 arivo isan-tsegondra.

maharatsy ny mifampiresaka:

• Ny MassDNS dia mety hiteraka enta-mavesatra lehibe amin'ny DNS solvers ampiasaina, izay mety hitarika amin'ny fandrarana ireo lohamilina na fitarainana amin'ny ISP-nao. Ho fanampin'izany, hametraka enta-mavesatra lehibe amin'ny mpizara DNS an'ny orinasa izany, raha manana azy ireo izy ireo ary raha tompon'andraikitra amin'ny sehatra izay ezahinao hovahana izy ireo.
• Efa lany andro ny lisitr'ireo mpanapa-kevitra, fa raha misafidy ireo mpanapa-kevitra DNS tapaka ianao ary manampy vaovao fantatra dia ho tsara ny zava-drehetra.

Pikantsarin'ny aquatone v0.5.0

nsec3map

nsec3map dia fitaovana Python hahazoana lisitra feno amin'ny sehatra arovana DNSSEC.

matihanina:

• Mahita haingana ireo mpampiantrano ao amin'ny faritra DNS miaraka amin'ny fanontaniana kely indrindra raha alefa ny fanohanana DNSSEC ao amin'ny faritra;
• Ahitana plugin iray ho an'i John the Ripper izay azo ampiasaina hanesorana ireo hash NSEC3 vokatr'izany.

maharatsy ny mifampiresaka:

• Maro ny fahadisoana DNS tsy voakarakara tsara;
• Tsy misy parallelization mandeha ho azy amin'ny fanodinana ny firaketana NSEC - tsy maintsy zarainao amin'ny tanana ny anaran'ny toerana;
• Fanjifana fahatsiarovana ambony.

Acunetix

Acunetix - scanner vulnerability amin'ny tranonkala izay manara-maso ny fizotran'ny fanamarinana ny fiarovana ny rindranasa amin'ny Internet. Mizaha toetra ny rindranasa ho an'ny tsindrona SQL, XSS, XXE, SSRF ary ireo vulnerability amin'ny Internet maro hafa. Na izany aza, toy ny scanner hafa, tsy mahasolo ny pentester ny karazana vulnerabilities isan-karazany, satria tsy afaka mahita rojo vulnerabilities na vulnerabilities amin'ny lojika. Saingy mandrakotra ny vulnerability maro isan-karazany izy io, ao anatin'izany ny CVE isan-karazany, izay mety hadinon'ny pentester, noho izany dia mety tsara ny manafaka anao amin'ny fisavana mahazatra.

matihanina:

• Ny ambaratonga ambany amin'ny vokatra diso;
• Ny vokatra azo aondrana ho tatitra;
• Manao fisavana marobe amin'ny fahalemena isan-karazany;
• Fikarohana parallèle amin'ny mpampiantrano maro.

maharatsy ny mifampiresaka:

• Tsy misy algorithm deduplication (Acunetix dia handinika ireo pejy mitovy amin'ny fiasa ho hafa, satria mitarika amin'ny URL samihafa izy ireo), fa ny mpamorona dia miasa amin'izany;
• Mitaky fametrahana amin'ny mpizara tranonkala mitokana, izay manasarotra ny fitsapana ny rafitra mpanjifa amin'ny fifandraisana VPN sy ny fampiasana ny scanner amin'ny ampahany mitokana amin'ny tambajotra mpanjifa eo an-toerana;
• Ny serivisy ianarana dia mety mitabataba, ohatra, amin'ny alàlan'ny fandefasana vetaveta fanafihana be loatra amin'ny endrika fifandraisana amin'ny tranokala, ka manasarotra be ny fizotran'ny raharaham-barotra;
• Izy io dia fananan-tany ary, araka izany, dia tsy vahaolana maimaim-poana.

Dirsearch

Dirsearch - fitaovana Python ho an'ny lahatahiry sy rakitra amin'ny tranokala.

matihanina:

• Afaka manavaka ny tena pejy "200 OK" amin'ny pejy "200 OK", fa miaraka amin'ny lahatsoratra "pejy tsy hita";
• Tonga miaraka amin'ny rakibolana mora ampiasaina izay manana fifandanjana tsara eo amin'ny habeny sy ny fahombiazan'ny fikarohana. Ahitana lalana mahazatra mahazatra amin'ny CMS sy stacks teknolojia maro;
• Ny endrika rakibolana azy manokana, izay ahafahanao mahazo fahombiazana sy fahafaha-manao tsara amin'ny fanisana rakitra sy lahatahiry;
• Famoahana mora - lahatsoratra tsotra, JSON;
• Afaka manao throttling - fiatoana eo anelanelan'ny fangatahana, izay tena ilaina amin'ny serivisy malemy.

maharatsy ny mifampiresaka:

• Ny fanitarana dia tsy maintsy mandalo toy ny tady, izay tsy mety raha mila mandalo fanitarana maro indray mandeha ianao;
• Mba hampiasana ny rakibolanao dia mila ovaina kely amin'ny endrika rakibolana Dirsearch izy io mba hahazoana fahombiazana ambony indrindra.

wfuzz

wfuzz - Fuzzer fampiharana tranonkala Python. Angamba iray amin'ireo mpizara tranonkala malaza indrindra. Tsotra ny fitsipika: ny wfuzz dia mamela anao hamindra toerana na aiza na aiza amin'ny fangatahana HTTP, izay ahafahana manara-maso ny mari-pamantarana GET/POST, lohatenin'ny HTTP, anisan'izany ny Cookie sy ny lohatenin'ny fanamarinana hafa. Amin'izay fotoana izay ihany koa dia mety ho an'ny hery mahery vaika amin'ny lahatahiry sy rakitra, izay mila rakibolana tsara. Izy io koa dia manana rafitra sivana malefaka, izay ahafahanao manivana valiny avy amin'ny tranokala araka ny mari-pamantarana samihafa, izay ahafahanao mahazo vokatra mahomby.

matihanina:

• Multifunctional - rafitra modular, ny fivoriambe dia maharitra minitra vitsy;
• Mekanika fanivanana sy fuzzing;
• Azonao atao ny mametraka ny fomba HTTP rehetra, ary koa ny toerana rehetra amin'ny fangatahana HTTP.

maharatsy ny mifampiresaka:

• Eo ambany fampandrosoana.

ffuf

ffuf - web fuzzer ao amin'ny Go, noforonina tamin'ny "sary sy ny endrik'i" an'ny wfuzz, mamela anao hanimba ny rakitra, ny lahatahiry, ny lalana URL, ny anarana sy ny soatoavin'ny GET/POST, ny lohatenin'ny HTTP, anisan'izany ny lohatenin'ny Host ho an'ny herisetra. an'ny mpampiantrano virtoaly. wfuzz dia tsy mitovy amin'ny rahalahiny amin'ny hafainganam-pandeha ambony kokoa ary misy endri-javatra vaovao sasany, ohatra, manohana rakibolana endrika Dirsearch.

matihanina:

• Ny sivana dia mitovy amin'ny sivana wfuzz, mamela anao hanitsy ny hery mahery vaika;
• Mamela anao hamadika ny soatoavin'ny lohatenin'ny HTTP, ny angon-drakitra fangatahana POST ary ny ampahany isan-karazany amin'ny URL, ao anatin'izany ny anarana sy ny soatoavin'ny mari-pamantarana GET;
• Azonao atao ny mamaritra ny fomba HTTP rehetra.

maharatsy ny mifampiresaka:

• Eo ambany fampandrosoana.

gobuster

gobuster - fitaovana Go ho an'ny reconnaissance, manana fomba fiasa roa. Ny voalohany dia ampiasaina hanesorana ny rakitra sy ny lahatahiry amin'ny tranokala iray, ny faharoa dia ampiasaina amin'ny fanerena ny subdomain DNS. Ny fitaovana dia tsy manohana ny fanisana ny rakitra sy ny lahatahiry miverimberina, izay mazava ho azy fa mamonjy fotoana, fa amin'ny lafiny iray, ny herim-pamoretana isaky ny teboka vaovao amin'ny tranokala dia tsy maintsy atomboka misaraka.

matihanina:

• Hafainganam-pandeha ambony na ho an'ny fikarohana an-kerisetra ny DNS subdomains na ho an'ny hery mahery vaika amin'ny rakitra sy ny lahatahiry.

maharatsy ny mifampiresaka:

• Ny dikan-teny ankehitriny dia tsy manohana ny fametrahana lohapejy HTTP;
• Amin'ny alàlan'ny default, ny sasany amin'ireo kaody sata HTTP (200,204,301,302,307) ihany no heverina ho manan-kery.

Arjun

Arjun - fitaovana ho an'ny hery mahery vaika amin'ny masontsivana HTTP miafina ao amin'ny masontsivana GET/POST, ary koa ao amin'ny JSON. Manana teny 25 ny rakibolana namboarina, izay nohamarinin'i Ajrun tao anatin'ny 980 segondra. Ny hafetsen'ny Ajrun dia tsy manamarina ny paramètre tsirairay misaraka, fa manamarina ~ 30 paramètres indray mandeha ary mijery raha niova ny valiny. Raha niova ny valiny, dia mizara roa ireo paramètre 1000 ireo ary manamarina hoe iza amin'ireo ampahany ireo no misy fiantraikany amin'ny valiny. Noho izany, amin'ny fampiasana fikarohana mimari-droa tsotra, misy paramètre na masontsivana miafina maromaro izay misy fiantraikany amin'ny valiny ary, noho izany, dia mety hisy.

matihanina:

• Haingam-pandeha ambony noho ny fikarohana binary;
• Fanohanana ny mari-pamantarana GET / POST, ary koa ny mari-pamantarana amin'ny endrika JSON;

Ny plugin for Burp Suite dia miasa amin'ny fitsipika mitovy - mpitrandraka param, izay tena tsara ihany koa amin'ny fitadiavana ireo masontsivana HTTP miafina. Hilaza aminao bebe kokoa momba izany izahay amin'ny lahatsoratra ho avy momba ny Burp sy ny plugins.

LinkFinder

LinkFinder — script Python hitadiavana rohy amin'ny rakitra JavaScript. Mahasoa amin'ny fitadiavana teboka/URL miafina na hadino ao anaty rindranasa tranonkala.

matihanina:

• Fast;
• Misy plugin manokana ho an'ny Chrome mifototra amin'ny LinkFinder.

.

maharatsy ny mifampiresaka:

• Famaranana farany tsy mety;
• Tsy mamakafaka JavaScript rehefa mandeha ny fotoana;
• Lojika tsotra fotsiny amin'ny fitadiavana rohy - raha toa ka voasakantsakana ny JavaScript, na tsy hita ny rohy amin'ny voalohany ary noforonina mavitrika, dia tsy hahita na inona na inona izy.

JSParser

JSParser dia script Python izay mampiasa Tornado и JSBeautifier mba hamakiana URL mifandray amin'ny rakitra JavaScript. Tena ilaina amin'ny fitadiavana ny fangatahana AJAX sy ny fanangonana lisitr'ireo fomba API izay ifandraisan'ny fampiharana. Miasa tsara miaraka amin'ny LinkFinder.

matihanina:

• Famaritana haingana ny rakitra JavaScript.

sqlmap

sqlmap angamba iray amin'ireo fitaovana malaza indrindra amin'ny famakafakana ny rindranasa amin'ny tranonkala. Sqlmap dia manao automatique ny fikarohana sy ny fiasan'ny tsindrona SQL, miasa miaraka amin'ny fitenim-paritra SQL maromaro, ary manana teknika maro isan-karazany ao amin'ny arsenalany, manomboka amin'ny teny mivantana mankany amin'ny vector sarotra ho an'ny tsindrona SQL mifototra amin'ny fotoana. Ankoatra izany, dia manana teknika maro ho an'ny fanararaotana bebe kokoa ho an'ny DBMS isan-karazany, noho izany dia ilaina tsy ho toy ny scanner ho an'ny SQL tsindrona, fa koa ho toy ny fitaovana mahery vaika ho an'ny fitrandrahana efa hita SQL tsindrona.

matihanina:

• Be dia be ny teknika sy vectors samihafa;
• Vitsy ny isan'ny diso;
• Betsaka ny safidy fanitsiana tsara, teknika isan-karazany, angon-drakitra kendrena, sora-baventy ho an'ny fandalovana WAF;
• Fahaizana mamorona fanariam-bokatra;
• Fahaizana fampandehanana maro samihafa, ohatra, ho an'ny angon-drakitra sasany - fandefasana / famoahana rakitra mandeha ho azy, fahazoana ny fahafahana manatanteraka baiko (RCE) sy ny hafa;
• Fanohanana ny fifandraisana mivantana amin'ny angon-drakitra mampiasa angona azo nandritra ny fanafihana;
• Azonao atao ny mametraka rakitra an-tsoratra miaraka amin'ny valin'ny Burp ho fampidirana - tsy mila mamorona tanana ny toetran'ny baiko rehetra.

maharatsy ny mifampiresaka:

• Sarotra ny manamboatra, ohatra, ny manoratra ny taratasinao manokana noho ny tsy fahampian'ny antontan-taratasy momba izany;
• Raha tsy misy ny toe-javatra mety, dia manao fanaraha-maso tsy feno, izay mety hamitaka.

NoSQLMap

NoSQLMap - fitaovana Python ho an'ny automatique ny fikarohana sy ny fitrandrahana ny tsindrona NoSQL. Mora ampiasaina tsy amin'ny angon-drakitra NoSQL ihany, fa mivantana koa rehefa manara-maso ny rindranasa tranonkala mampiasa NoSQL.

matihanina:

• Sahala amin'ny sqlmap, tsy vitan'ny hoe mahita fahalemena mety hitranga izy io, fa manamarina ihany koa ny mety hisian'ny fitrandrahana azy amin'ny MongoDB sy CouchDB.

maharatsy ny mifampiresaka:

• Tsy manohana ny NoSQL ho an'i Redis, Cassandra, ny fampandrosoana dia mandeha amin'ity lalana ity.

oxml_xxe

oxml_xxe - fitaovana hametahana XXE XML trandrahana amin'ny karazana rakitra samihafa izay mampiasa ny endrika XML amin'ny endrika sasany.

matihanina:

• Manohana endrika mahazatra maro toy ny DOCX, ODT, SVG, XML.

maharatsy ny mifampiresaka:

• Ny fanohanana ny PDF, JPEG, GIF dia tsy ampiharina tanteraka;
• Mamorona rakitra iray ihany. Mba hamahana ity olana ity dia azonao atao ny mampiasa ny fitaovana docem, izay afaka mamorona rakitra be dia be amin'ny toerana samihafa.

Ireo fitaovana etsy ambony dia manao asa tsara amin'ny fitiliana XXE rehefa mameno antontan-taratasy misy XML. Saingy tadidio koa fa ny mpitantana ny format XML dia hita amin'ny tranga maro hafa, ohatra, XML dia azo ampiasaina ho format data fa tsy JSON.

Noho izany, manoro hevitra anao izahay mba handinika ireto tahiry manaraka ireto, izay misy entana maro samihafa: PayloadsAllTheThings.

tplmap

tplmap - fitaovana Python hamantarana sy hitrandraka ho azy ny fahalemen'ny Server-Side Template Injection; manana toe-javatra sy saina mitovy amin'ny sqlmap izy. Mampiasa teknika sy vectors maro isan-karazany, anisan'izany ny tsindrona jamba, ary manana teknika amin'ny fanatanterahana kaody sy fametahana/mampakatra rakitra tsy misy dikany. Ho fanampin'izany, manana teknika arsenal ho an'ny maotera môdely am-polony maro izy ary teknika sasany hikaroka tsindrona kaody mitovy amin'ny eval() amin'ny Python, Ruby, PHP, JavaScript. Raha mahomby dia manokatra console interactive izy io.

matihanina:

• Be dia be ny teknika sy vectors samihafa;
• Manohana maotera fanaovana modely maro;
• Be dia be ny teknika miasa.

CeWL

CeWL - mpamorona rakibolana amin'ny teny Ruby, noforonina mba hanesorana teny tokana avy amin'ny vohikala voatondro, manaraka rohy ao amin'ny tranokala mankany amin'ny halaliny voafaritra. Ny rakibolana voaangona misy teny tokana dia azo ampiasaina amin'ny fampiasana ny tenimiafina amin'ny serivisy na ny rakitra brute force sy ny lahatahiry ao amin'ny tranonkala iray ihany, na hanafika ireo hash vokarina amin'ny fampiasana hashcat na John the Ripper. Mahasoa rehefa manangona lisitra "kendrena" amin'ny tenimiafina mety.

matihanina:

• Mora ampiasaina.

maharatsy ny mifampiresaka:

• Mila mitandrina amin'ny halalin'ny fikarohana ianao mba tsy haka sehatra fanampiny.

Weakpass

Weakpass - serivisy misy rakibolana maro misy tenimiafina tokana. Tena ilaina amin'ny asa isan-karazany mifandraika amin'ny fanitsakitsahana ny tenimiafina, manomboka amin'ny herim-pamoretana tsotra amin'ny kaonty an-tserasera amin'ny serivisy kendrena, ka hatramin'ny herim-pamoretana an-tserasera amin'ny hash azo ampiasaina. hashcat na John The Ripper. Izy io dia misy tenimiafina 8 lavitrisa eo anelanelan'ny 4 ka hatramin'ny 25 ny halavany.

matihanina:

• Misy rakibolana manokana sy rakibolana miaraka amin'ny tenimiafina mahazatra indrindra - afaka misafidy rakibolana manokana ho an'ny filanao manokana ianao;
• Nohavaozina sy nofenoina tenimiafina vaovao ny rakibolana;
• Laharana araka ny fahaiza-manao ny rakibolana. Azonao atao ny misafidy ny safidy ho an'ny hery mahery vaika an-tserasera haingana sy ny fifantenana amin'ny antsipiriany ny tenimiafina avy amin'ny rakibolana be dia be miaraka amin'ny fivoahana farany;
• Misy kajikajy mampiseho ny fotoana ilaina hanesorana ny tenimiafina amin'ny fitaovanao.

Tianay ny hampiditra fitaovana ho an'ny fisavana CMS ao anaty vondrona misaraka: WPScan, JoomScan ary AEM hacker.

AEM_hacker

AEM mpijirika dia fitaovana hamantarana ireo vulnerabilities amin'ny rindranasa Adobe Experience Manager (AEM).

matihanina:

• Afaka mamantatra ny fampiharana AEM amin'ny lisitry ny URL natolotra azy;
• Ahitana sora-baventy hahazoana RCE amin'ny fametrahana akora JSP na fitrandrahana SSRF.

JoomScan

JoomScan - fitaovana Perl ho an'ny automatique ny fitadiavana ny vulnerability rehefa mampiasa Joomla CMS.

matihanina:

• Afaka mahita lesoka sy olana amin'ny toe-draharaham-pitantanana;
• Mitanisa ny dikan-teny Joomla sy ny vulnerability mifandraika amin'izany, mitovy amin'ny singa tsirairay;
• Misy fitrandrahana mihoatra ny 1000 ho an'ny singa Joomla;
• Famoahana ny tatitra farany amin'ny endrika lahatsoratra sy HTML.

WPScan

WPScan - fitaovana iray handinihana ny tranokala WordPress, manana vulnerability ao amin'ny arsenaliny izy na ho an'ny motera WordPress mihitsy na ho an'ny plugins sasany.

matihanina:

• Mahay mitanisa ireo plugins sy lohahevitra WordPress tsy azo antoka, fa mahazo lisitry ny mpampiasa sy ny rakitra TimThumb ihany koa;
• Afaka manao fanafihana mahery vaika amin'ny tranokala WordPress.

maharatsy ny mifampiresaka:

• Raha tsy misy ny toe-javatra mety, dia manao fanaraha-maso tsy feno, izay mety hamitaka.

Amin'ny ankapobeny, ny olona samy hafa dia tia fitaovana samihafa ho an'ny asa: samy tsara amin'ny fombany izy ireo, ary izay tian'ny olona iray dia mety tsy mifanaraka amin'ny hafa mihitsy. Raha heverinao fa tsy noraharahiana tsy ara-drariny ny fitaovana tsara sasany, soraty ao amin'ny fanehoan-kevitra izany!

Source: www.habr.com