Пред некое време пишував за , но малку скудно и хаотично. Потоа, решив да ја проширам листата на алатки во прегледот, да додадам структура на статијата и да ги земам предвид критиките (многу благодарам за совет) и го испрати на конкурс на SecLab (и објавено , но од сите очигледни причини никој не ја видел). Конкурсот заврши, резултатите се објавени и со чиста совест можам да го објавам (написот) на Хабре.
Бесплатни алатки за веб-апликации Pentester
Во оваа статија ќе зборувам за најпопуларните алатки за пенетрација (тестови за пенетрација) на веб апликации користејќи ја стратегијата „црна кутија“.
За да го направите ова, ќе ги разгледаме комуналните услуги кои ќе помогнат при овој тип на тестирање. Размислете за следните категории на производи:
- Мрежни скенери
- Скенери за прекршување на веб скрипти
- Експлоатација
- Автоматизација на инјекциите
- Дебагери (трагачи, локални прокси, итн.)
Некои производи имаат универзален „карактер“, па ќе ги класифицирам во категоријата во која имаат аоподобар резултат (субјективно мислење).
Мрежни скенери.
Главната задача е да се откријат достапните мрежни услуги, да се инсталираат нивните верзии, да се одреди оперативниот систем итн.
Nmap
е бесплатна алатка со отворен код за мрежна анализа и ревизија на безбедноста на системот. Насилните противници на конзолата можат да користат Zenmap, што е GUI за Nmap.
Ова не е само „паметен“ скенер, тоа е сериозна алатка која може да се прошири (една од „невообичаените карактеристики“ е присуството на скрипта за проверка на јазол за присуство на црв "“ (се споменува ). Типичен пример за употреба:
nmap -A -T4 localhost
-А за откривање верзија на ОС, скенирање и следење скрипта
-Поставување за контрола на времето T4 (повеќе е побрзо, од 0 до 5)
localhost - целен домаќин
Нешто потешко?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Ова е збир на опции од профилот „бавно сеопфатно скенирање“ во Zenmap. Потребно е доста долго време за да се заврши, но на крајот дава подетални информации што може да се дознаат за целниот систем. , ако одлучите да навлезете подлабоко, препорачувам и да ја преведете статијата .
Nmap го доби статусот „Безбедносен производ на годината“ од списанија и заедници како што се Linux Journal, Info World, LinuxQuestions.Org и Codetalker Digest.
Интересна точка, Nmap може да се види во филмовите „The Matrix Reloaded“, „Die Hard 4“, „The Bourne Ultimatum“, „Hottabych“ и .
IP-алатки
- еден вид сет на различни мрежни комунални услуги, доаѓа со GUI, „посветен“ на корисниците на Windows.
Скенер за порти, споделени ресурси (споделени печатачи/папки), WhoIs/Finger/Lookup, телнет клиент и многу повеќе. Само удобна, брза, функционална алатка.
Нема посебна смисла да се размислува за други производи, бидејќи има многу комунални услуги во оваа област и сите тие имаат слични принципи на работа и функционалност. Сепак, nmap останува најчесто користен.
Скенери за прекршување на веб скрипти
Обидувајќи се да пронајдете популарни пропусти (SQL inj, XSS, LFI/RFI, итн.) или грешки (не избришани привремени датотеки, индексирање директориум, итн.)
Скенер за ранливост на веб Acunetix
— од врската можете да видите дека ова е xss скенер, но тоа не е сосема точно. Бесплатната верзија, достапна овде, обезбедува доста функционалност. Вообичаено, лицето кое првпат го стартува овој скенер и за прв пат добива извештај за својот ресурс, доживува благ шок и ќе разберете зошто кога ќе го направите ова. Ова е многу моќен производ за анализа на сите видови пропусти на веб-локација и работи не само со вообичаените веб-страници на PHP, туку и на други јазици (иако разликата во јазикот не е индикатор). Нема посебна поента во опишувањето на упатствата, бидејќи скенерот едноставно ги „подигнува“ дејствата на корисникот. Нешто слично на „следно, следно, следно, подготвено“ во типична софтверска инсталација.
Нико
Ова е веб-роботик со отворен код (GPL). Ја елиминира рутинската рачна работа. Ја пребарува целната локација за неизбришани скрипти (некои test.php, index_.php, итн.), алатки за администрирање на базата на податоци (/phpmyadmin/, /pma и слично) итн., односно го проверува ресурсот за најчестите грешки обично предизвикани од човечки фактори.
Плус, ако најде некоја популарна скрипта, ја проверува за објавени експлоати (кои се во базата на податоци).
Пријавува достапни „несакани“ методи како што се PUT и TRACE
И така натаму. Многу е погодно ако работите како ревизор и секојдневно анализирате веб-страници.
Од минусите, би сакал да го забележам високиот процент на лажни позитиви. На пример, ако вашата страница секогаш ја дава главната грешка наместо грешка 404 (кога треба да се случи), тогаш скенерот ќе каже дека вашата страница ги содржи сите скрипти и сите пропусти од нејзината база на податоци. Во пракса, тоа не се случува толку често, но всушност, многу зависи од структурата на вашата страница.
Класична употреба:
./nikto.pl -host localhost
Ако треба да бидете овластени на страницата, можете да поставите колаче во датотеката nikto.conf, променливата STATIC-COOKIE.
Викто
— Никто за Windows, но со некои дополнувања, како што е „нејасна“ логика при проверка на кодот за грешки, користење на GHDB, добивање врски и папки со ресурси, следење во реално време на HTTP барања/одговори. Wikto е напишан во C# и бара .NET рамка.
прескокнувачка риба
- Веб скенер за ранливост од (познат како lcamtuf). Напишано во C, крос-платформа (Win бара Cygwin). Рекурзивно (и за многу долго време, околу 20-40 часа, иако последен пат ми работеше 96 часа) ја лази целата страница и наоѓа секакви безбедносни дупки. Исто така, генерира многу сообраќај (неколку GB дојдовни/појдовни). Но, сите средства се добри, особено ако имате време и ресурси.
Типична употреба:
./skipfish -o /home/reports www.example.com
Во папката „извештаи“ ќе има извештај во html, .
w3af
— Напад на веб-апликација и рамка за ревизија, скенер за веб-ранливост со отворен код. Има GUI, но можете да работите од конзолата. Поточно, тоа е рамка со .
Можете да зборувате за неговите предности долго време, подобро е да го пробате:] Типичната работа со неа се сведува на избор на профил, одредување цел и, всушност, негово лансирање.
Мантра безбедносна рамка
е остварен сон. Збирка на бесплатни и отворени алатки за безбедност на информации вградени во веб-прелистувач.
Многу корисно при тестирање на веб-апликации во сите фази.
Употребата се сведува на инсталирање и стартување на прелистувачот.
Всушност, има многу комунални услуги во оваа категорија и доста е тешко да се избере одредена листа од нив. Најчесто, секој пентестер самиот го одредува комплетот алатки што му се потребни.
Експлоатација
За автоматизирана и поудобна експлоатација на пропусти, експлоатирањата се напишани во софтвер и скрипти, на кои само треба да се пренесат параметри за да се искористи безбедносната дупка. И има производи кои ја елиминираат потребата за рачно пребарување на експлоатирања, па дури и да ги применуваат во лет. Сега ќе се дискутира за оваа категорија.
Рамка на Метасплојт
- еден вид чудовиште во нашиот бизнис. Тој може да направи толку многу што упатствата ќе опфатат неколку статии. Ќе ја разгледаме автоматската експлоатација (nmap + metasploit). Во крајна линија е ова: Nmap ќе ја анализира портата што ни е потребна, ќе ја инсталира услугата, а metasploit ќе се обиде да примени експлоатирања врз неа врз основа на класата на услугата (ftp, ssh, итн.). Наместо текстуални инструкции, ќе вметнам видео, доста популарно на темата autopwn
Или едноставно можеме да ја автоматизираме работата на експлоатот што ни треба. На пример:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Всушност, можностите на оваа рамка се многу обемни, па ако одлучите да одите подлабоко, одете на
Армитаж
— OVA на сајберпанк жанрот GUI за Metasploit. Ја визуелизира целта, препорачува експлоатации и обезбедува напредни карактеристики на рамката. Во принцип, за оние кои сакаат сè да изгледа убаво и впечатливо.
Пренос на екранот:
Одржлив Nessus®
- може да направи многу работи, но една од можностите што ни требаат од него е да одредиме кои услуги имаат експлоатации. Бесплатна верзија на производот „само дома“
Использование:
- Преземено (за вашиот систем), инсталирано, регистрирано (клучот е испратен на вашата е-пошта).
- Го стартуваше серверот, го додаде корисникот во Nessus Server Manager (копче за управување со корисници)
- Одиме на адресата
https://localhost:8834/
и земете го флеш-клиентот во прелистувачот
- Скенира -> Додај -> пополнете ги полињата (со избирање на профилот за скенирање што ни одговара) и кликнете Скенирај
По некое време, извештајот за скенирање ќе се појави во картичката Извештаи
За да ја проверите практичната ранливост на услугите на експлоатирања, можете да ја користите Metasploit Framework опишана погоре или да се обидете да најдете експлоат (на пример, на , , итн.) и употребете го рачно против неговиот систем
IMHO: премногу гломазна. Го доведов како еден од лидерите во оваа насока на софтверската индустрија.
Автоматизација на инјекциите
Многу од секундарните скенери на веб-апликации бараат инјекции, но тие сепак се само општи скенери. И постојат комунални услуги кои конкретно се занимаваат со пребарување и искористување на инјекции. Сега ќе зборуваме за нив.
sqlmap
— алатка со отворен код за пребарување и искористување на инјекции на SQL. Поддржува сервери за бази на податоци како што се: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Вообичаената употреба се сведува на линијата:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Има доволно прирачници, вклучително и на руски. Софтверот во голема мера ја олеснува работата на пентестер кога работи на оваа област.
Ќе додадам официјална видео демонстрација:
bsqlbf-v2
— perl скрипта, брутален присилувач за „слепи“ Sql инјекции. Работи и со цели броеви во url и со вредности на низа.
Поддржана база на податоци:
- MS-SQL
- MySQL,
- PostgreSQL
- Oracle
Пример за употреба:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-URL — Врска со параметри
-слепи те — параметар за инјектирање (по дифолт последниот се зема од лентата за адреси)
-sql "избери име на табелата од imformation_schema.tables ограничување 1 поместување 0" — нашето произволно барање до базата на податоци
-база на податоци 1 — сервер за база на податоци: MSSQL
-тип 1 - тип на напад, „слепа“ инјекција, базирана на одговори „Вистина и грешка“ (на пример, синтаксни грешки)
Дебагери
Овие алатки главно ги користат програмерите кога имаат проблеми со резултатите од извршувањето на нивниот код. Но, оваа насока е корисна и за тестирање, кога можеме да ги замениме податоците што ни се потребни во лет, да анализираме што доаѓа како одговор на нашите влезни параметри (на пример, за време на заматување) итн.
Бурп апартман
— збир на комунални услуги кои помагаат при тестовите за пенетрација. На интернет е на руски од Raz0r (иако за 2008 година).
Бесплатната верзија вклучува:
- Burp Proxy е локален прокси кој ви овозможува да менувате веќе генерирани барања од прелистувачот
- Burp Spider - пајак, бара постоечки датотеки и директориуми
- Burp Repeater - рачно испраќање HTTP барања
- Burp Sequencer - анализира случајни вредности во форми
- Burp Decoder е стандарден енкодер-декодер (html, base64, hex, итн.), од кои има илјадници, кои можат брзо да се напишат на кој било јазик
- Компонента за споредба на жици
Во принцип, овој пакет ги решава речиси сите проблеми поврзани со оваа област.
свирач
— Fiddler е прокси за дебагирање што го евидентира целиот сообраќај на HTTP(S). Ви овозможува да го испитате овој сообраќај, да поставите точки на прекин и да „играте“ со дојдовни или појдовни податоци.
Исто така, постои , чудовиште и други, изборот е на корисникот.
Заклучок
Секако, секој пентестер има свој арсенал и свој сет на комунални услуги, бидејќи едноставно ги има многу. Се обидов да наведам некои од најзгодните и најпопуларните. Но, за да може секој да се запознае со други комунални услуги во оваа насока, ќе дадам врски подолу.
Различни врвови/списоци на скенери и комунални услуги
- .
Линукс дистрибуции кои веќе вклучуваат куп различни алатки за тестирање
ажурирање: на руски од тимот „Hack4Sec“ (додадено )
П.С. Не можеме да молчиме за XSpider. Не учествува во прегледот, иако е shareware (дознав кога ја испратив статијата до SecLab, всушност поради ова (не знаење, и недостаток на најнова верзија 7.8) и не го вклучив во статијата). И теоретски, беше планиран преглед на тоа (имам подготвени тешки тестови за тоа), но не знам дали светот ќе го види.
PPS Некои материјали од статијата ќе се користат за наменетата цел во претстојниот извештај на 2012 година во делот QA, кој ќе содржи алатки кои не се споменати овде (бесплатно, се разбира), како и алгоритам, по кој редослед да се користи што, каков резултат да се очекува, какви конфигурации да се користат и секакви совети и трикови кога работа (Речиси секој ден размислувам за извештајот, ќе се обидам да ви кажам се најдобро за темата)
Патем, имаше лекција за овој напис во Отворете InfoSec Days (, ), може ограби корованците Погледни .
Извор: www.habr.com