ááá¯ážá¡áááºáá¯ááºážá áá±ážáá²á·áá°ážáá«áááºá
á¡ááá²á· Web Application Pentester Tools
á€áá±á¬ááºážáá«ážááœáẠ"black box" áááºážáá»á°áá¬ááᯠá¡áá¯á¶ážááŒá¯á áááºá¡ááºááá®áá±ážááŸááºážáá»á¬ážá pentesting (ááá¯ážáá±á¬ááºá
ááºážáááºááŸá¯áá»á¬áž) á¡ááœáẠáá±áááºážá¡á
á¬ážáá¯á¶áž tools áá»á¬ážá¡ááŒá±á¬ááºáž ááŒá±á¬ááŒáá«áááºá
áá®ááá¯áá¯ááºááá¯á·á áá®á
ááºážáááºááŸá¯á¡áá»áá¯ážá¡á
á¬ážááá¯áá°áá®ááá·áº ââutilities ááœá±ááá¯ááŒáá·áºáááºá á¡á±á¬ááºáá±á¬áºááŒáá« áá¯ááºáá¯ááºá¡áá»áá¯ážá¡á
á¬ážáá»á¬ážááᯠááá·áºááœááºážá
ááºážá
á¬ážáá«á
- ááœááºáááºá áááºáá¬áá»á¬áž
- ááẠáá¬ááºááœáŸááºážáá»áá¯ážáá±á¬ááºááŸá¯ á áááºáá¬áá»á¬áž
- áá±á«ááºážáá¯á¶ááŒááºááŒááºážá
- á¡ááá¯á¡áá»á±á¬ááºááá¯ážáá±áž
- á¡ááŸá¬ážááŸá¬áá°áá»á¬áž (sniffersá local proxy á áááºááá¯á·)
á¡áá»áá¯á·áá±á¬áá¯ááºáá¯ááºáá»á¬ážááœáẠuniversal âcharacterâ áá«ááŸááááºá ááá¯á·ááŒá±á¬áá·áº áááºážááá¯á·ááœáẠáááºážááá¯á·ááᯠá¡áá»áá¯ážá¡á
á¬ážá¡ááá¯áẠá¡áá»áá¯ážá¡á
á¬ážááœá²áá«áááºáПááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áááẠ(á¡á
á®á¡á
á¥áºá¡ááŒááº)á
ááœááºáááºá áááºáá¬áá»á¬ážá
áááŸáááá¯ááºáá±á¬ááœááºáááºáááºáá±á¬ááºááŸá¯áá»á¬ážááá¯ááŸá¬ááœá±áááºá áááºážááá¯á·ááá¬ážááŸááºážáá»á¬ážááá¯ááá·áºááœááºážáááºá OS ááá¯áá¯á¶ážááŒááºááẠá¡ááááá¬áááºááŒá áºáááºá
nmap
áááºážááẠâá
áááºâ á
áááºáá¬áá
áºáá¯áá»áŸáá¬ááá¯ááºáá«á áááºážááẠááŒááºážáááºáá±á¬ááá¯ážáá»á²á·ááá¯ááºáá±á¬áááááá¬áá
áºáá¯ááŒá
áºááẠ(âáá¯á¶ááŸááºááá¯ááºáá±á¬á¡ááºá¹áá«áááºáá»á¬ážâ áá²ááŸáá
áºáá¯ááẠworm ááŸááá±ááŒááºážá¡ááœáẠnode ááá¯á
á
áºáá±ážáááºá¡ááœáẠscript áá
áºáá¯ááŸááá±ááŒááºážááŒá
áºáááº
nmap -A -T4 localhost
-A OS áá¬ážááŸááºážááŸá¬ááœá±ááŒááºážá áá¬ááºááœáŸááºážá
áááºááºáááºááŒááºážááŸáá·áº ááŒá±áá¬áá¶ááŒááºážá¡ááœááº
-T4 á¡áá»áááºááááºážáá»á¯ááºááŸá¯áááºááẠ(ááá¯ááá¯ááŒááºáááºáááºá 0 á០5 á¡áá)
localhost - áá
áºááŸááºá¡áááºááŸááº
áá
áºáá¯áᯠááá¯ááŒááºážáááºááá¬ážá
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
á€áááºááŸá¬ Zenmap ááŸá "slow comprehensive scan" áááá¯ááá¯ááºá០ááœá±ážáá»ááºá
áá¬á¡á
á¯áá
áºáá¯ááŒá
áºáááºá ááŒá®ážááŒá±á¬ááºááẠá¡áá»áááºá¡áá±á¬áºá¡áááºááŒá¬áá±á¬áºáááºáž áá±á¬ááºáá¯á¶ážááœáẠáá
áºááŸááºá
áá
áºá¡ááŒá±á¬ááºáž ááááŸáááá¯ááºááá·áº á¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠáá±ážáá«áááºá
Nmap ááẠLinux áá»á¬áááºá Info Worldá LinuxQuestions.Org ááŸáá·áº Codetalker Digest áá²á·ááá¯á·áá±á¬ ááá¹ááááºážáá»á¬ážááŸáá·áº á¡ááá¯ááºážá¡ááá¯ááºážáá»á¬ážá០"áá
áºááŸá
áºáá¬á áá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá¯ááº" á¡ááá·áºááᯠáááŸááá¬ážáááºá
á
áááºáááºá
á¬ážá
áá¬áá±á¬ááºážááá·áºá¡áá»ááºááŸá¬ Nmap ááᯠâThe Matrix Reloadedâá âDie Hard 4âá âThe Bourne Ultimatumâá âHottabychâ ááŸáá·áº áá¯ááºááŸááºáá»á¬ážááœáẠááŒááºááœá±á·ááá¯ááºáááºá
IP-áááááá¬áá»á¬áž
ááááºáááºážá
áááºáá¬á áá»áŸáá±áá¬ážáá±á¬áááºážááŒá
áºáá»á¬áž (áá»áŸáá±áá¬ážáá±á¬ ááááºáá¬áá»á¬áž/ááá¯ááºááœá²áá»á¬áž)á WhoIs/Finger/Lookupá telnet client ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážá á¡áááºááŒá±á ááŒááºáááºááŒá®áž á¡áá¯ááºáá¯ááºáá²á· tool áá
áºáá¯áá«á
á¡ááŒá¬ážáá¯ááºáá¯ááºáá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážáá¬ááœáẠá¡áá°ážá¡áá»ááºáááŸááá«á á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº á€á§áááá¬ááœáẠá¡áá¯á¶ážá¡áá±á¬ááºáá»á¬ážá áœá¬ááŸáááŒá®áž áááºážááá¯á·á¡á¬ážáá¯á¶ážááœáẠá¡áá¬ážáá°áááºáááºááŸá¯á¡ááŒá±áá¶áá»á¬ážááŸáá·áº áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸááá±á¬ááŒá±á¬áá·áºááŒá áºáááºá ááá¯á·áá±á¬áºáááºáž nmap ááẠá¡áá¯á¶ážá¡áá»á¬ážáá¯á¶ážááŒá áºáááºá
ááẠáá¬ááºááœáŸááºážáá»áá¯ážáá±á¬ááºááŸá¯ á áááºáá¬áá»á¬áž
áá°ááŒáá¯ááºáá»á¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬áž (SQL injá XSSá LFI/RFI á áááºááŒáá·áº) ááá¯á·ááá¯áẠá¡ááŸá¬ážáá»á¬áž (áá¬áá®ááá¯ááºáá»á¬ážááᯠááá»ááºáá áºáá«á áááºážááœáŸááºá¡ááœáŸááºážáá±ážááŒááºáž á áááºááŒáá·áº) ááá¯ááŸá¬ááœá±ááẠááŒáá¯ážá á¬ážáá±áá«áááºá
Acunetix Web Vulnerability Scanner ááŒá
áºáááº
Nikto
ááá¯á·á¡ááŒááºá áááºážááẠáá°ááŒáá¯ááºáá»á¬ážáá±á¬ script á¡áá»áá¯á·ááá¯ááœá±á·ááŸááá«áá ááœááºáá¬áá±á¬ exploits (áá±áá¬áá±á·á
áºááœááºáá«ááŸááá±á¬) ááᯠá
á
áºáá±ážáááºá
PUT ááŸáá·áº TRACE áá²á·ááá¯á·áá±á¬ "áááá¯áá¬ážá¡ááºáá±á¬" áááºážáááºážáá»á¬áž áááŸáááá¯ááºáá±á¬ á¡á
á®áááºáá¶á
á¬áá»á¬áž
áá±á¬áẠ... ááŒá®ážáá±á¬á·á á
á¬áááºážá
á
áºáá
áºáŠážá¡áá±ááŸáá·áº áá±á·á
áẠáááºááá¯ááºáá»á¬ážááᯠááœá²ááŒááºážá
áááºááŒá¬áá«á á¡ááœááºá¡áááºááŒá±áá«áááºá
á¡áá¯ááºááá¹ááá¬áá»á¬ážáá²ááŸá ááŸá¬ážááœááºážáá±á¬á¡ááŒá¯ááá±á¬áá»á¬ážá áá¬ááá¯ááºááŸá¯ááºážááŒáá·áºáá¬ážááŸá¯ááᯠááŸááºáá¬ážááá¯áá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá á¡áááºá ááá·áºááá¯ááºááẠ404 á¡ááŸá¬ážá¡á
á¬áž áááºáá¡ááŸá¬ážááᯠá¡ááŒá²áá±ážáááºááá¯áá«á (ááŒá
áºááá·áºááá·áºá¡áá»áááºááœááº)á áááºá site ááœáẠscripts áá»á¬áž ááŸáá·áº áááºážá database á០á¡á¬ážáááºážáá»ááºáá»á¬áž á¡á¬ážáá¯á¶ážááᯠscanner á០ááŒá±á¬áááá·áºáááºá áááºááœá±á·ááœááºá á€áá»áŸáááŒá¬áááááŒá
áºáááºáá±á¬áºáááºáž á¡ááŸááºááááºá¡á¬ážááŒáá·áº ááá·áºááá¯ááºáááœá²á·á
ááºážáá¯á¶áá±á«áºááœáẠáá»á¬ážá
áœá¬áá°áááºáá«áááºá
ááá¹ááááºá¡áá¯á¶ážááŒá¯ááŸá¯-
./nikto.pl -host localhost
ááá¯ááºááœáẠááœáá·áºááŒá¯áá»ááºáááẠááá¯á¡ááºáá«áá áááºááẠnikto.conf ááá¯ááºá STATIC-COOKIE ááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ ááœááºáá®ážáá áºáá¯ááᯠáááºááŸááºááá¯ááºáááºá
Wikto
áá»á±á¬áºáá«áž
áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯ááŸá¯-
"á¡á
á®áááºáá¶á
á¬áá»á¬áž" ááá¯ááºááœá²ááœáẠhtml ááœááºá¡á
á®áááºáá¶á
á¬áá
áºáá¯áá«áááá·áºáááºá
w3af
áááºážá á¡á¬ážáá¬áá»ááºáá»á¬ážááᯠá¡áá»áááºá¡áá±á¬áºááŒá¬á¡á±á¬áẠááŒá±á¬ááŒááá¯ááºáááºá áááºážááᯠá
ááºážááŒáá·áºáá«á ááá¯áá±á¬ááºážááẠ:] áá¯á¶ááŸááºá¡áá¯ááºááẠáááá¯ááá¯ááºááᯠááœá±ážáá»ááºááŒááºážá áááºážááá¯ááºááᯠáááºááŸááºááŒááºážááŸáá·áº á¡ááŸááºáááẠá
áááºááŒááºážá០áááºážáááºáá¬ááŒááºážááŒá
áºáááºá
ááá¹áááºáá¯á¶ááŒá¯á¶áá±ážáá±á¬ááº
á¡ááá·áºááá¯ááºážááœáẠáááºá¡ááºááá®áá±ážááŸááºážáá»á¬ážááᯠá
ááºážáááºáá±á¬á¡áá« á¡ááœááºá¡áá¯á¶ážáááºáááºá
ááá±á¬ááºáá¬ááᯠááá·áºááœááºážááŒááºážááŸáá·áº á
áááºááŒááºážááœáẠá¡áá¯á¶ážááŒá¯ááŸá¯ááẠá¡áá»ááºážáááºáááºá
ááááºáá±á¬á·á áá®á¡áá»áá¯ážá¡á á¬ážáá²ááŸá¬ utilities ááœá±á¡áá»á¬ážááŒá®ážááŸáááŒá®áž áá°ááá¯á·áá®á áááá»áá²á·á á¬áááºážáá áºáá¯ááᯠááœá±ážááá¯á·á áá±á¬áºáá±á¬áºáááºáá²áá«áááºá á¡áá»á¬ážá á¯ááá±á¬á· pentester áá áºáá±á¬ááºáá»ááºážá á®á áá°ááá¯á¡ááºáá²á· tool á¡á á¯á¶ááᯠáá¯á¶ážááŒááºáá«áááºá
áá±á«ááºážáá¯á¶ááŒááºááŒááºážá
á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡ááá¯á¡áá»á±á¬ááºááŸáá·áº ááá¯ááá¯á¡áááºááŒá±á áœá¬ á¡áá¯á¶ážáá»ááŒááºážá¡ááœááºá áá¯á¶ááŒá¯á¶áá±ážááá¯áá±á«ááºááᯠá¡áá¯á¶ážáá»áááºá¡ááœáẠááá·áºáááºáá±á¬ááºáá»á¬ážááá¯áᬠááŒááºáááºážáááºááá¯á¡ááºááá·áº áá±á¬á·ááºáá²ááŸáá·áº áá¬ááºááœáŸááºážáá»á¬ážááœáẠá¡áá¯á¶ážáá»ááŸá¯áá»á¬ážááᯠáá±ážáá¬ážáááºá ááá¯á·á¡ááŒáẠá¡ááŒááºáá¯ááºááŸá¯áá»á¬ážááᯠááá¯ááºááá¯ááºááŸá¬ááœá±ááẠááá¯á¡ááºááŸá¯ááᯠáááºááŸá¬ážáá±ážááŒá®áž áááºážááá¯á·ááᯠá¡áá»ááºá¡ááŒáẠá¡áá¯á¶ážáá»ááá¯ááºááá·áº áá¯ááºáá¯ááºáá»á¬ážáááºáž ááŸááá«áááºá á€á¡áá»áá¯ážá¡á á¬ážááᯠááᯠááœá±ážááœá±ážáá«áááºá
Metasploit áá°áá±á¬ááº
ááá¯á·ááá¯áẠáá»áœááºá¯ááºááá¯á· ááá¯á¡ááºáá±á¬ exploit á áááºáááºááŸá¯ááᯠááá¯ážááŸááºážá áœá¬ á¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá±á¬ááºááá¯ááºáááºá á¥ááá¬-
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
ááááºáá±á¬á·á áá®áá°áá±á¬ááºáá²á· á
áœááºážáá±á¬ááºááá¯ááºáááºááœá±á á¡ááœááºáá»ááºááŒáá·áºáá«áááºá áá«ááŒá±á¬áá·áº áá®áááºááá¯ááŒá®áž áááºáá²ááá¯á· áá¯á¶ážááŒááºáááºá ááœá¬ážáá«á
áá®ááá°á
áá»ááºááŸá¬ááŒááºáá¬á
-
Tenable Nessus®
áá¯á¶ážáá«:
- áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ (ááá·áºá áá áºá¡ááœááº)á ááá·áºááœááºážá ááŸááºáá¯á¶áááºáá¬ážááẠ(áá±á¬á·ááᯠááá·áºá¡á®ážáá±ážááºááá¯á· áá±ážááá¯á·áááº)á
- áá¬áá¬ááᯠá áááºáá²á·ááŒá®áž á¡áá¯á¶ážááŒá¯áá°ááᯠNessus áá¬áá¬áááºáá±áá»á¬ (á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá á®áá¶ááá·áºááœá²ááẠááá¯ááº) ááœáẠááá·áºááœááºážáá²á·áááºá
- ááááºá
á¬ááᯠááœá¬ážááŒá
áá¯á·
https://localhost:8834/
browser ááœáẠflash client ááá¯ááá°áá«á
- á áááºáááºááŒááºáž -> Add -> ááœááºáááºáá»á¬ážááᯠááŒáá·áºáá« (áá»áœááºá¯ááºááá¯á·ááŸáá·áº ááá¯ááºáá®áá±á¬ á áááºááºáááºááŒááºáž áááá¯ááá¯ááºááᯠááœá±ážáá»ááºááŒááºážááŒáá·áº) ááŸáá·áº Scan ááᯠááŸáááºáá«á
á¡áá»áááºá¡áááºážáááºááŒá¬ááŒá®ážáá±á¬ááºá á
áááºáááºá
á
áºáá±ážááŒááºážá¡á
á®áááºáá¶á
á¬ááẠá¡á
á®áááºáá¶á
á¬áá»á¬ážáááºááºááœáẠáá±á«áºáá¬áááá·áºáááºá
áááºáá±á¬ááºááŸá¯áá»á¬ážá áááºááœá±á·áá»áá±á¬ á¡á¬ážáááºážáá»ááºááᯠá
á
áºáá±ážáááºá¡ááœááºá áááºááẠá¡áááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ Metasploit Framework ááᯠá¡áá¯á¶ážááŒá¯á ááá¯á·ááá¯áẠexploit áá
áºáá¯ááᯠááŸá¬ááœá±ááẠááŒáá¯ážá
á¬ážááá¯ááºááẠ(á¥ááá¬á ááœááºá
áá¬ááŸáááºáž ááŒááºáááºá áá»áœááºáá±á¬áº áá°á·ááᯠáá±á¬á·ááºáá²ááºáá¯ááºáááºážáá²á· áá®áŠážáááºáá»ááºááŸá¬ áá±á«ááºážáá±á¬ááºáá
áºáá±á¬ááºá¡áá±áá²á· áá±á«áºáá±á¬ááºáá²á·áááºá
á¡ááá¯á¡áá»á±á¬ááºááá¯ážáá±áž
áááºá¡ááºáẠá áá¹ááá·áºá áááºáá¬á¡áá»á¬ážá á¯ááẠááá¯ážáá±ážáá»á¬ážááᯠááŸá¬ááœá±áá±á¬áºáááºáž áááºážááá¯á·ááẠáá±áá°áá»á áááºáá¬áá»á¬ážáᬠááŒá áºáá±ážáááºá ááá¯á·á¡ááŒáẠááá¯ážáá±ážááŸá¬ááœá±ááŒááºážááŸáá·áº á¡áá¯á¶ážáá»ááŒááºážááá¯á·ááᯠááá¯ááºááœááºááŒá±ááŸááºážááá·áº á¡áá¯á¶ážáááºááŸá¯áá»á¬ážáááºáž ááŸááá«áááºá á¡áá¯áá°ááá¯á·á¡ááŒá±á¬ááºážááŒá±á¬áááºá
sqlmap
áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯ááŸá¯ ááá¯ááºážáá»ááœá¬ážáááº-
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
áá¯ááŸá¬ážáá¬áá¬á
áá¬ážá¡áá«á¡ááẠáááºá
áœá²á
á¬á¡á¯ááºáá»á¬áž áá¯á¶áá±á¬ááºá
áœá¬ááŸááááºá áá±á¬á·ááºáá²ááºááẠá€á§áááá¬ááœááºá¡áá¯ááºáá¯ááºáá±á¬á¡áá« pentester áá¡áá¯ááºááá¯á¡ááœááºááœááºáá°áá»á±á¬ááœá±á·á
á±áááºá
ááá¬ážáááºáá®áá®ááᯠááá¯ááºááŒááŸá¯ááᯠááá·áºááœááºážáá«áááº-
bsqlbf-v2
áá±áá¬áá±á·á
áºááᯠáá¶á·ááá¯ážáá¬ážáááº-
- MS-SQL
- á MySQL
- PostgreSQL
- Oracle á
á¡áá¯á¶ážááŒá¯ááŸá¯á¥ááá¬:
-url
-áááºážáá±ááá¬áž - áá±ážááá¯ážááŒááºážá¡ááœáẠááá·áºáááºáá»áẠ(áá¯á¶ááŸááºá¡á¬ážááŒáá·áº áá±á¬ááºáá¯á¶ážáá
áºáá¯á¡á¬áž ááááºá
á¬áá¬ážá០áá°áááº)
-sql "imformation_schema.tables á០table_name ááᯠááœá±ážáá« ááá·áºáááºáá»áẠ1 offset 0" - áá±áá¬áá±á·á
áºááá¯á· áá»áœááºá¯ááºááá¯á·á áááá¬ážáá±á¬ááºážááá¯ááŸá¯
-áá±áá¬áá±á·á
Ạá â áá±áá¬áá±á·á
áºáá¬áá¬- MSSQL
-á¡áá»áá¯ážá¡á
á¬áž á â True ááŸáá·áº Error (á¥ááá¬á syntax á¡ááŸá¬ážá¡ááœááºážáá»á¬áž) áá¯á¶á·ááŒááºáá»ááºáá»á¬ážááᯠá¡ááŒá±áá¶á âáá»ááºáááºážâ ááá¯ážááŒááºáž
á¡ááŸá¬ážááŸá¬áá»á¬áž
áááºážááá¯á·ááá¯ááºááá¯áá¯ááºáá±á¬ááºááŒááºážáááááºáá»á¬ážááŸáá·áº ááŒá¿áá¬áá»á¬ážááŸááá±á¬á¡áá«ááœáẠá€áááááá¬áá»á¬ážááᯠáá±á¬á·ááºáá²á¡ááºáá»ááºáá®áá¬áá»á¬ážá á¡áááá¡áá¯á¶ážááŒá¯ááŒáááºá ááá¯á·áá±á¬áº áá»áœááºá¯ááºááá¯á·ááẠáá»á¶áááºážááŸá¯ááœáẠááá¯á¡ááºááá·áºáá±áá¬ááᯠá¡á á¬ážááá¯ážááá¯ááºááŒá®áž áá»áœááºá¯ááºááá¯á·áááá·áºááœááºážááŸá¯ááá·áºáááºáá»ááºáá»á¬áž (á¥ááá¬á fuzzing áá¯ááºáá±á ááº) á áááºááá¯á·ááᯠáá¯á¶á·ááŒááºááá·áºá¡áá¬á¡á¬áž ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºááá·áºá¡áá« á€áááºážááœáŸááºáá»ááºááẠá¡áá¯á¶ážáááºáááºá
Burp Suite
á¡ááá²á·áá¬ážááŸááºážááœáẠáá«áááºáááº-
- Burp Proxy ááẠááá±á¬ááºáá¬á០áá¯ááºáá±ážááŒá®ážáá¬áž áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠááŒá¯ááŒááºááœááºážáá¶ááá¯ááºá á±ááá·áº ááŒááºááœááºážááá±á¬ááºá á®áá áºáá¯ááŒá áºáááºá
- Burp Spider - ááá·áºáá°á ááŸáááŒá®ážáá¬ážááá¯ááºáá»á¬ážááŸáá·áº áááºážááœáŸááºáá»á¬ážááᯠááŸá¬ááœá±áááºá
- Burp Repeater - HTTP áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááá¯ááºááá¯ááºáá±ážááá¯á·ááŒááºážá
- Burp Sequencer - áá¯á¶á á¶áá»á¬ážááŒáá·áº áá»áááºážáááºááá¯ážáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
- Burp Decoder ááẠStandard encoder-decoder (htmlá base64á hex á áááº) ááẠáá±á¬ááºááŸáá·áºáá»á®áááŸáááŒá®áž áááºááá·áºáá¬áá¬á áá¬ážááŒáá·áºáááᯠáá»ááºááŒááºá áœá¬áá±ážáá¬ážááá¯ááºáááºá
- Burp Comparer - String ááŸáá¯ááºážááŸááºááŸá¯ á¡á áááºá¡ááá¯ááºáž
áá°á¡áá á€áááºáá±á·áá»áºááẠá€á§áááá¬ááŸáá·áºáááºááá¯ááºááá·áº ááŒá¿áá¬á¡á¬ážáá¯á¶ážáá®ážáá«ážááᯠááŒá±ááŸááºážáá±ážáááºá
ááá±á¬ááá¬áž
áááºážááŸááááºá
áá±á¬ááºáá»ááº
áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá pentester áá áºáá¯á á®ááœáẠá¡áá»á¬ážá¡ááŒá¬ážááŸááá±á¬ááŒá±á¬áá·áº áááºážáááá¯ááºááá¯ááºáááºáááºáá»á¬ážááŸáá·áº áááºážáááá¯ááºááá¯áẠutilities áá»á¬ážááŸááááºá á¡áááºááŒá±áá¯á¶ážáá²á· áá°ááŒáá¯ááºá¡áá»á¬ážáá¯á¶áž áá áºáá»áá¯á·ááᯠá á¬áááºážááŒá¯á á¯ááá¯á· ááŒáá¯ážá á¬ážáá²á·áááºá áá«áá±ááá·áº áááºáá°áááᯠáá®áááºážááœáŸááºáá»ááºááŸá¬ áááŒá¬áž utilities ááœá±áá²á· áá°ááá¯á·ááá¯ááºáá°ááá¯á· áááºážááŸá®ážááá¯ááºá á±ááá¯á· á¡á±á¬ááºááŸá¬ ááá·áºááºááœá±ááᯠáá±á¬áºááŒáá±ážáá«áááºá
á áááºáá¬áá»á¬ážááŸáá·áº á¡áá¯á¶ážáááºááŸá¯áá»á¬ážá ááááºáááºáž/á á¬áááºážáá»á¬áž
áá¯á¶ááŒá¯á¶áá±ážááŸáá·áº áááºáᬠáááááá¬áá»á¬áž ááááºáááºáž ááœááºáááºáá¯á¶ááŒá¯á¶áá±ážáááááᬠ100 ááááºáááºáž Web Vulnerability Scanner 10 áᯠ.ááááºáááºáž Vulnerability Scanner 10 áᯠOWASP ááááºáááºáž áááááá¬áá»á¬ážááŸáá·áº áááºážáá»á°áᬠáá áᯠWeb-based Application áá¯á¶ááŒá¯á¶áá±ážá áááºáá¬áá»á¬áž WebAppSec á០Web Application Security Scanner á á¬áááºáž RDot ááá¯áááºááŸá Infosec á¡áá¯á¶ážáááºááŸá¯áá»á¬áž á¡á¬ážáááºážáá»ááºá áááºáá¬áá»á¬áž (Wikipedia)
ááœá²ááŒá¬ážáá±á¬ pentesting utilities á¡áá»á¬ážá¡ááŒá¬ážáá«áááºááŒá®ážáá±á¬ Linux ááŒáá·áºáá±ááŸá¯áá»á¬áž
ááœááºážáá¶:
PS XSpider á¡ááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á· ááŸá¯ááºááááºááá±ááá¯ááºáá«á ááŒááºáááºáá¯á¶ážáááºááŸá¯ááœáẠááá«áááºáá±á¬áºáááºáž áááºážááẠááŸááºáá²ááŒá áºááẠ(áá±á¬ááºážáá«ážááᯠSecLab ááá¯á· áá»áœááºá¯ááºááá¯á·ááá¯ááºáá±á¬á¡áá« (ááááºáá±á¬á· (á¡ááááá¬ááá¯ááºáá«á áá±á¬ááºáá¯á¶ážáá¬ážááŸááºáž 7.8) áááŸáááŒááºáž) ááŒá±á¬áá·áº áááºážááᯠáá±á¬ááºážáá«ážááœááºáááá·áºááœááºážáá²á·)á áá®á¡áá¯áá®á¡áá áááºážááá¯ááŒááºáááºáá¯á¶ážáááºáááºá á®á ááºáá¬ážáá«ááẠ(áááºážá¡ááœááºáá»áœááºá¯ááºááœááºáááºáá²áá±á¬á ááºážáááºááŸá¯áá»á¬ážááŒááºáááºáá¬ážáá«áááº)á ááá¯á·áá±á¬áºááá¹áá¬áááŒááºááá¯ááºáááá·áºáááºááá¯áá»áœááºá¯ááºááááá«á
PPS áá±á¬ááºážáá«ážá០á¡ááŒá±á¬ááºážá¡áá¬á¡áá»áá¯á·ááᯠáááºážá áááºááœááºáá¬ážááá·áº áááºááœááºáá»ááºá¡ááœáẠáá¬ááá·áºá¡á
á®áááºáá¶á
á¬ááœáẠá¡áá¯á¶ážááŒá¯áááºááŒá
áºáááºá
á
áá¬ážáá
áẠáá®áá±á¬ááºážáá«ážááŸá¬ áááºáááºážá
á¬áá
áºáᯠááŸááá²á·áá«áááºá InfoSec Days ááá¯ááœáá·áºáá«á (
source: www.habr.com