Wapiti - အားနည်းချက်များအတွက် ဝဘ်ဆိုက်တစ်ခုကို ၎င်းကိုယ်တိုင် စစ်ဆေးခြင်း။

နောက်ဆုံး၌ ဆောင်းပါး ငါတို့အကြောင်းပြောခဲ့တယ်။ Nemesida WAF အခမဲ့ - ဟက်ကာတိုက်ခိုက်မှုများမှ ဝဘ်ဆိုက်များနှင့် API များကို အခမဲ့ကာကွယ်ပေးသည့် ကိရိယာဖြစ်ပြီး၊ ဤတစ်ခုတွင် လူကြိုက်များသော အားနည်းချက်စကင်နာကို ပြန်လည်သုံးသပ်ရန် ဆုံးဖြတ်ခဲ့သည်။ ဝါပီတီ.

အားနည်းချက်များအတွက် ဝဘ်ဆိုဒ်ကို စကင်န်ဖတ်ခြင်းသည် လိုအပ်သောတိုင်းတာမှုတစ်ခုဖြစ်ပြီး၊ အရင်းအမြစ်ကုဒ်ကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် အပေးအယူလုပ်နိုင်သည့် ခြိမ်းခြောက်မှုများမှ ၎င်း၏လုံခြုံရေးအဆင့်ကို အကဲဖြတ်နိုင်မည်ဖြစ်သည်။ အထူးပြုကိရိယာများကို အသုံးပြု၍ ဝဘ်အရင်းအမြစ်တစ်ခုကို စကင်န်ဖတ်နိုင်သည်။

Nikto၊ W3af (ပံ့ပိုးမပေးတော့သော Python 2.7 တွင်ရေးထားသည်) သို့မဟုတ် Arachni (ဖေဖော်ဝါရီလကတည်းက မပံ့ပိုးတော့ပါ) များသည် အခမဲ့အပိုင်းတွင် ဖော်ပြထားသော လူကြိုက်အများဆုံးဖြေရှင်းနည်းများဖြစ်သည်။ ဟုတ်ပါတယ်၊ ဥပမာ၊ Wapiti ကိုအာရုံစိုက်ဖို့ဆုံးဖြတ်ထားတဲ့အခြားသူတွေရှိတယ်။

Wapiti သည် အောက်ပါ အားနည်းချက်အမျိုးအစားများနှင့် အလုပ်လုပ်သည်-

• ဖိုင်ချဲ့ထွင်ခြင်း (ဒေသခံနှင့် အဝေးထိန်း၊ fopen၊ readfile);
• ထိုးဆေးများ (PHP / JSP / ASP / SQL ထိုးဆေးနှင့် XPath ဆေးထိုးခြင်း);
• XSS (Cross Site Scripting) (ရောင်ပြန်ဟပ်ပြီး အမြဲမပြတ်);
• အမိန့်များကို ထောက်လှမ်းခြင်းနှင့် အကောင်အထည်ဖော်ခြင်း (eval(), system(), passtru());
• CRLF ထိုးဆေးများ (HTTP တုံ့ပြန်မှု ပိုင်းခြားခြင်း၊ session fixation);
• XXE (XML ပြင်ပအဖွဲ့အစည်း) မြှုပ်နှံမှု;
• SSRF (Server Side Request Forgery);
• အန္တရာယ်ရှိနိုင်သော လူသိများသော ဖိုင်များကို အသုံးပြုခြင်း ( Nikto ဒေတာဘေ့စ်ကို ကျေးဇူးတင်ပါသည်)။
• အားနည်းသော .htaccess configurations ကို ကျော်ဖြတ်နိုင်သော၊
• လျှို့ဝှက်အချက်အလက်များကိုဖော်ပြသည့် အရန်ဖိုင်များရှိနေခြင်း (အရင်းအမြစ်ကုဒ်ကိုထုတ်ဖော်ခြင်း);
• Shellshock;
• ပြန်ညွှန်းမှုများကို ဖွင့်ပါ
• ဖြေရှင်းနိုင်သော စံမဟုတ်သော HTTP နည်းလမ်းများ (PUT)။

အင်္ဂါရပ်များ:

• HTTP၊ HTTPS နှင့် SOCKS5 ပရောက်စီပံ့ပိုးမှု။
• နည်းလမ်းများစွာကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း- အခြေခံ၊ Digest၊ Kerberos သို့မဟုတ် NTLM;
• စကင်န်ဖတ်ဧရိယာ (ဒိုမိန်း၊ ဖိုဒါ၊ စာမျက်နှာ၊ URL) ကို ကန့်သတ်ရန် စွမ်းရည်
• URL ရှိ ဘောင်များထဲမှ တစ်ခုကို အလိုအလျောက် ဖယ်ရှားခြင်း၊
• အဆုံးမဲ့စကင်န်စက်များကို တားဆီးခြင်းအများအပြား (ဥပမာ- ifor၊ ကန့်သတ်ချက်တစ်ခုအတွက် တန်ဖိုးများ);
• URL များကို စစ်ဆေးခြင်းအတွက် ဦးစားပေးသတ်မှတ်နိုင်မှု (၎င်းတို့သည် စကင်န်ဖတ်သည့်နေရာ၌ မရှိသော်လည်း)၊
• စကင်န်ဖတ်ခြင်းနှင့် တိုက်ခိုက်မှုများမှ အချို့သော URL များကို ဖယ်ထုတ်နိုင်စွမ်း (ဥပမာ- URL ထွက်ခြင်း)၊
• ကွတ်ကီးများကို တင်သွင်းပါ (wapiti-getcookie tool ကို အသုံးပြု၍ ၎င်းတို့ကို ရယူပါ);
• SSL လက်မှတ်အတည်ပြုခြင်းကို အသက်သွင်းရန်/ပိတ်နိုင်မှု၊
• JavaScript မှ URL များကို ထုတ်ယူနိုင်မှု (အလွန်ရိုးရှင်းသော JS စကားပြန်)
• HTML5 နှင့် အပြန်အလှန်အကျိုးသက်ရောက်မှု၊
• crawler အပြုအမူနှင့် ကန့်သတ်ချက်များကို စီမံခန့်ခွဲရန်အတွက် ရွေးချယ်စရာများစွာ၊
• စကင်န်ဖတ်ခြင်းလုပ်ငန်းစဉ်အတွက် အများဆုံးအချိန်သတ်မှတ်ခြင်း၊
• စိတ်ကြိုက် HTTP ခေါင်းစီးအချို့ကို ပေါင်းထည့်ခြင်း သို့မဟုတ် စိတ်ကြိုက်အသုံးပြုသူ-အေးဂျင့်ကို စနစ်ထည့်သွင်းခြင်း။

အပိုဆောင်းအင်္ဂါရပ်များ:

• အားနည်းချက် အစီရင်ခံစာများကို ပုံစံအမျိုးမျိုးဖြင့် ဖန်တီးခြင်း (HTML, XML, JSON, TXT);
• စကင်န် သို့မဟုတ် တိုက်ခိုက်မှုကို ခေတ္တရပ်ပြီး ပြန်လည်စတင်ခြင်း (SQLite3 ဒေတာဘေ့စ်များကို အသုံးပြုသည့် စက်ရှင်စနစ်)
• အားနည်းချက်များကို မီးမောင်းထိုးပြရန် terminal တွင် backlighting;
• ကွဲပြားခြားနားသောသစ်ခုတ်ခြင်းအဆင့်;
• တိုက်ခိုက်မှု module များကို ဖွင့်ရန်/ပိတ်ရန် မြန်ဆန်လွယ်ကူသောနည်းလမ်း။

ustanovka

Wapiti ၏ လက်ရှိဗားရှင်းကို နည်းလမ်း ၂ သွယ်ဖြင့် ထည့်သွင်းနိုင်သည်။

• တရားဝင်မှအရင်းအမြစ်ကို download လုပ်ပါ။ site ကို ယခင်က Python3 ကိုထည့်သွင်းပြီးပါက installation script ကို run ပါ။
• pip3 install wapti3 command ကို အသုံးပြု.

ဒီနောက်မှာတော့ Wapiti က အဆင်သင့်ဖြစ်နေပါပြီ။

ကိရိယာနှင့်အလုပ်လုပ်သည်။

Wapiti ၏အလုပ်အား သရုပ်ပြရန်အတွက်၊ ကျွန်ုပ်တို့သည် အထူးပြင်ဆင်ထားသည့် sites.vulns.pentestit.ru (အတွင်းပိုင်းအရင်းအမြစ်) ကို အသုံးပြု၍ အားနည်းချက်များ (Injection၊ XSS၊ LFI/RFI) နှင့် အခြားသော ဝဘ်အက်ပ်လီကေးရှင်းများ၏ ချို့ယွင်းချက်များ အမျိုးမျိုးပါဝင်ပါသည်။

သတင်းအချက်အလက်ကို သတင်းအချက်အလက်ဆိုင်ရာ ရည်ရွယ်ချက်အတွက်သာ ပံ့ပိုးပေးပါသည်။ ဥပဒေကို မချိုးဖောက်နဲ့။

စကင်နာကိုဖွင့်ရန် အခြေခံအမိန့်စာ-

# wapiti -u <target> <options>

တစ်ချိန်တည်းမှာပင်၊ ဥပမာအားဖြင့်၊ လွှတ်တင်ရန်ရွေးချယ်စရာအများအပြားအတွက် အတော်လေးအသေးစိတ်သောအကူအညီ ရှိပါသည်။

-- နယ်ပယ် - လျှောက်လွှာဧရိယာ
ကူးယူခြင်း URL နှင့်အတူ နယ်ပယ်ကန့်သတ်ဘောင်ကို သတ်မှတ်ပါက၊ စာမျက်နှာတစ်ခုတည်းနှင့် ဆိုက်ပေါ်ရှိ စာမျက်နှာအားလုံးကို သတ်မှတ်ခြင်းဖြင့် ဆိုက်၏ ကူးယူခြင်းဧရိယာကို ချိန်ညှိနိုင်သည်။

-s и -x — သီးခြား URL များကို ထည့်ရန် သို့မဟုတ် ဖယ်ရှားရန် ရွေးချယ်စရာများ။ ကူးယူခြင်းလုပ်ငန်းစဉ်အတွင်း တိကျသော URL တစ်ခုကို ထည့်ရန် သို့မဟုတ် ဖယ်ရှားရန် လိုအပ်သည့်အခါ ဤရွေးချယ်စရာများသည် အသုံးဝင်ပါသည်။

-- ကျော်သွား — ဤသော့ပါသော သတ်မှတ်ထားသော ကန့်သတ်ဘောင်ကို စကင်န်ဖတ်မည်ဖြစ်သော်လည်း တိုက်ခိုက်မည်မဟုတ်ပါ။ စကင်န်ဖတ်နေစဉ်အတွင်း အကောင်းဆုံးဖယ်ထုတ်ထားသည့် အန္တရာယ်ရှိသော ဘောင်များရှိပါက အသုံးဝင်သည်။

--verify-ssl — အသိအမှတ်ပြုလက်မှတ်အတည်ပြုခြင်းကို ဖွင့်ပါ သို့မဟုတ် ပိတ်ပါ။
Wapiti scanner သည် modular ဖြစ်သည်။ သို့သော်၊ စကင်နာလုပ်ဆောင်နေချိန်တွင် အလိုအလျောက်ချိတ်ဆက်ထားသည့်အရာများအပါအဝင် တိကျသော module များကိုဖွင့်ရန်၊ သင်သည် -m ခလုတ်ကိုအသုံးပြုပြီး လိုအပ်သည့်အရာများကို ကော်မာဖြင့်ခြားကာ စာရင်းပြုစုပါ။ သော့ကိုအသုံးမပြုပါက၊ မော်ဂျူးများအားလုံးသည် ပုံသေအားဖြင့် အလုပ်လုပ်မည်ဖြစ်သည်။ အရိုးရှင်းဆုံးဗားရှင်းတွင်၊ ၎င်းသည်ဤကဲ့သို့ဖြစ်လိမ့်မည်။

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

ဤအသုံးပြုမှုနမူနာသည် ပစ်မှတ်ကိုစကင်န်ဖတ်သည့်အခါ SQL၊ XSS နှင့် XXE မော်ဂျူးများကိုသာ အသုံးပြုမည်ဟု ဆိုလိုသည်။ ထို့အပြင်၊ သင်အလိုရှိသောနည်းလမ်းပေါ် မူတည်၍ module များ၏လည်ပတ်မှုကိုစစ်ထုတ်နိုင်သည်။ ဥပမာအားဖြင့် -m "xss: get, blindsql: post, xxe: post". ဤကိစ္စတွင်ခုနှစ်, module xss GET နည်းလမ်းကို အသုံးပြု၍ ပေးပို့သော တောင်းဆိုချက်များနှင့် မော်ဂျူးတွင် သက်ရောက်မည်ဖြစ်သည်။ blibdsql - တောင်းဆိုချက်များ စသည်တို့ကို POST ပြုလုပ်ရန်၊ စကားမစပ်၊ စကင်န်ဖတ်နေစဉ်အတွင်း စာရင်းတွင်ပါဝင်သည့် မော်ဂျူးအချို့ကို မလိုအပ်ပါက သို့မဟုတ် အလွန်ကြာမြင့်ပါက၊ ထို့နောက် Ctrl+C ပေါင်းစပ်မှုကို နှိပ်ခြင်းဖြင့် အပြန်အလှန်အကျိုးသက်ရောက်မှုရှိသော မီနူးရှိ သက်ဆိုင်ရာအရာအား ရွေးချယ်ခြင်းဖြင့် လက်ရှိ module ကိုအသုံးပြု၍ ကျော်သွားနိုင်ပါသည်။

Wapiti သည် သော့ကို အသုံးပြု၍ ပရောက်စီမှတစ်ဆင့် တောင်းဆိုမှုများကို ဖြတ်သန်းခြင်းကို ပံ့ပိုးပေးသည်။ -p ကန့်သတ်ချက်မှတဆင့် ပစ်မှတ်ဆိုက်ပေါ်တွင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း။ -a. အထောက်အထားစိစစ်ခြင်း အမျိုးအစားကိုလည်း သင် သတ်မှတ်နိုင်သည်- အခြေခံ, ကျမ်းပေါင်းစုံ, သစ်ပင်ကြီး и NTLM. နောက်ဆုံးနှစ်ခုသည် အပို module များ တပ်ဆင်ရန် လိုအပ်နိုင်သည်။ ထို့အပြင်၊ သင်သည် တောင်းဆိုချက်များတွင် ခေါင်းစီးများကို ထည့်သွင်းနိုင်သည် (မတရားသလို အပါအဝင် user-အေးဂျင့်) ပြီးတော့နောက်ထပ်အများကြီးပဲ။

authentication ကိုအသုံးပြုရန် tool ကိုသုံးနိုင်သည်။ wapti-getcookie. ၎င်း၏အကူအညီဖြင့်ကျွန်ုပ်တို့ဖွဲ့စည်းခဲ့သည်။ cookie ကိုစကင်န်ဖတ်သည့်အခါ Wapiti အသုံးပြုပါမည်။ ဖွဲ့စည်းခြင်း။ cookie ကို အမိန့်ဖြင့်လုပ်ဆောင်သည်-

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

အပြန်အလှန်အပြန်အလှန်လုပ်ဆောင်နေချိန်တွင် ကျွန်ုပ်တို့သည် မေးခွန်းများကိုဖြေကြားပြီး အကောင့်ဝင်ခြင်း၊ စကားဝှက်စသည်ဖြင့် လိုအပ်သောအချက်အလက်များကို ညွှန်ပြသည်-

အထွက်သည် JSON ဖော်မတ်ရှိ ဖိုင်တစ်ခုဖြစ်သည်။ အခြားရွေးချယ်စရာမှာ parameter မှတဆင့်လိုအပ်သောအချက်အလက်အားလုံးကိုထည့်ရန်ဖြစ်သည်။ -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

ရလဒ်သည် အလားတူဖြစ်လိမ့်မည်-

စကင်နာ၏ အဓိကလုပ်ဆောင်နိုင်စွမ်းကို စဉ်းစားသောအခါ၊ ကျွန်ုပ်တို့၏ကိစ္စတွင် ဝဘ်အက်ပလီကေးရှင်းကို စမ်းသပ်ရန် နောက်ဆုံးတောင်းဆိုချက်မှာ-

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

အခြား parameters များကြားတွင် မည်သည့်နေရာတွင်၊

-f и -o — အစီရင်ခံစာကို သိမ်းဆည်းရန်အတွက် ဖော်မတ်နှင့် လမ်းကြောင်း၊

-m — မော်ဂျူးအားလုံးကို ချိတ်ဆက်ရန် မအကြံပြုထားသောကြောင့်၊ စမ်းသပ်ချိန်နှင့် အစီရင်ခံစာအရွယ်အစားအပေါ် သက်ရောက်မှုရှိမည်ဖြစ်သည်။

--အရောင် — Wapiti ကိုယ်တိုင်က ၎င်းတို့၏ ဝေဖန်မှုအပေါ် မူတည်၍ တွေ့ရှိသော အားနည်းချက်များကို မီးမောင်းထိုးပြပါ။

-c - ဖိုင်နှင့်အတူအသုံးပြုခြင်း။ cookie ကိုအသုံးပြု၍ ထုတ်လုပ်သည်။ wapti-getcookie;

-- နယ်ပယ် - တိုက်ခိုက်မှုအတွက် ပစ်မှတ်ကို ရွေးချယ်ပါ။ ရွေးချယ်မှုတစ်ခုကို ရွေးချယ်ခြင်း။ ဖိုငျတှဲ URL တစ်ခုစီတိုင်းသည် အခြေခံတစ်ခုမှစတင်၍ ကောက်ယူပြီး တိုက်ခိုက်မည်ဖြစ်သည်။ အခြေခံ URL တွင် ရှေ့သို့ မျဉ်းစောင်းပါရှိရမည် (ဖိုင်အမည်မရှိပါ);

--flush-session — ယခင်ရလဒ်များကို ထည့်သွင်းစဉ်းစားမည်မဟုတ်သည့် ထပ်ခါတလဲလဲ စကင်ဖတ်စစ်ဆေးခြင်းကို ခွင့်ပြုသည်။

-A - ကိုယ်ပိုင် user-အေးဂျင့်;

-p - လိုအပ်ပါက ပရောက်စီဆာဗာလိပ်စာ။

အစီရင်ခံစာအကြောင်းအနည်းငယ်

စကင်န်ဖတ်ခြင်းရလဒ်ကို HTML စာမျက်နှာဖော်မတ်တွင် တွေ့ရှိရသည့် အားနည်းချက်များအားလုံးအတွက် အသေးစိတ်အစီရင်ခံစာပုံစံဖြင့် ရှင်းလင်းပြီး ဖတ်ရလွယ်ကူသောပုံစံဖြင့် တင်ပြပါသည်။ အစီရင်ခံစာတွင် တွေ့ရှိရသည့် အားနည်းချက်အမျိုးအစားများနှင့် အရေအတွက်၊ ၎င်းတို့၏ ဖော်ပြချက်၊ တောင်းဆိုချက်များ၊ အမိန့်များကို ညွှန်ပြမည်ဖြစ်သည်။ ဆံပင်ကောက်ကောက် ၎င်းတို့ကို မည်သို့ပိတ်ရမည်ကို အကြံပြုချက်များ။ သွားလာရလွယ်ကူစေရန်အတွက် အမျိုးအစားအမည်များသို့ လင့်ခ်တစ်ခုကို ပေါင်းထည့်မည်ဖြစ်ပြီး ၎င်းကို သင်သွားနိုင်သည့်အရာကိုနှိပ်ပါ-

အစီရင်ခံစာ၏ သိသာထင်ရှားသော အားနည်းချက်မှာ ဝဘ်အက်ပလီကေးရှင်းမြေပုံမရှိခြင်းဖြစ်သောကြောင့် လိပ်စာများနှင့် ဘောင်များကို ခွဲခြမ်းစိတ်ဖြာထားခြင်းရှိမရှိ ရှင်းရှင်းလင်းလင်းမသိရပေ။ မှားယွင်းသော အပြုသဘောဆောင်မှုများလည်း ဖြစ်နိုင်ချေရှိသည်။ ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ အစီရင်ခံစာတွင် “အရန်ဖိုင်များ” နှင့် “ဖြစ်နိုင်ချေရှိသော အန္တရာယ်ရှိသောဖိုင်များ” ပါဝင်သည်။ ဆာဗာတွင် ထိုသို့သောဖိုင်များမရှိသောကြောင့် ၎င်းတို့၏နံပါတ်သည် လက်တွေ့နှင့်မကိုက်ညီပါ။

မှားယွင်းစွာ အလုပ်လုပ်နေသော module များကို အချိန်ကြာလာသည်နှင့်အမျှ ပြုပြင်သွားမည်ဖြစ်သည်။ အစီရင်ခံစာ၏ နောက်ထပ်အားနည်းချက်မှာ တွေ့ရှိရသည့် အားနည်းချက်များကို အရောင်ခြယ်ခြင်း မရှိခြင်း (၎င်းတို့၏ ဝေဖန်ပိုင်းခြားမှုအပေါ်မူတည်၍) သို့မဟုတ် အနည်းဆုံး ၎င်းတို့ကို အမျိုးအစားများ ခွဲထားသည်။ တွေ့ရှိသောအားနည်းချက်၏ဝေဖန်ချက်ကို ကျွန်ုပ်တို့သွယ်ဝိုက်နားလည်နိုင်သည့်တစ်ခုတည်းသောနည်းလမ်းမှာ ကန့်သတ်ဘောင်ကိုအသုံးပြုခြင်းဖြစ်သည်။ --အရောင် စကင်န်ဖတ်နေစဉ်၊ ထို့နောက် တွေ့ရှိသော အားနည်းချက်များကို အရောင်အမျိုးမျိုးဖြင့် အရောင်ခြယ်သွားပါမည်။

ဒါပေမယ့် အစီရင်ခံစာကိုယ်တိုင်က ဒီလိုအရောင်ခြယ်မှုမျိုး မပေးပါဘူး။

အားနည်းချက်များ

SQLi

စကင်နာသည် SQLi ရှာဖွေမှုကို တစ်စိတ်တစ်ပိုင်းအားဖြင့် ဖြေရှင်းပေးသည်။ စစ်မှန်ကြောင်းအထောက်အထားပြရန်မလိုအပ်သည့်စာမျက်နှာများတွင် SQL အားနည်းချက်များကိုရှာဖွေသောအခါ၊ မည်သည့်ပြဿနာမျှပေါ်ပေါက်မည်မဟုတ်ပါ-

အထောက်အထားစိစစ်ပြီးမှသာ ဝင်ရောက်နိုင်သော စာမျက်နှာများတွင် အားနည်းချက်ကို ရှာမတွေ့နိုင်ပါ၊ cookie ကိုအထောက်အထားစိစစ်ခြင်းအောင်မြင်ပြီးနောက် ဖြစ်နိုင်ချေများသောကြောင့် ၎င်းတို့၏စက်ရှင်သည် “ထွက်” ပြီးဖြစ်သည်။ cookie ကို မမှန်ဖြစ်လာလိမ့်မည်။ အကယ်၍ deauthorization လုပ်ဆောင်ချက်ကို ဤလုပ်ထုံးလုပ်နည်းကို လုပ်ဆောင်ရန် တာဝန်ရှိသော သီးခြား script တစ်ခုအဖြစ် အကောင်အထည်ဖေါ်ခဲ့ပါက၊ ၎င်းကို -x ကန့်သတ်ဘောင်မှတဆင့် လုံးဝဖယ်ထုတ်ရန် ဖြစ်နိုင်ပြီး ယင်းကြောင့် ၎င်းကို စတင်ခြင်းမှ ကာကွယ်နိုင်သည်။ မဟုတ်ပါက ၎င်း၏လုပ်ဆောင်မှုကို ဖယ်ထုတ်ရန် မဖြစ်နိုင်ပါ။ ၎င်းသည် တိကျသော module တစ်ခုအတွက် ပြဿနာမဟုတ်သော်လည်း ကိရိယာတစ်ခုလုံးဖြင့်၊ သို့သော် ဤထူးခြားချက်ကြောင့်၊ ပိတ်ထားသောအရင်းအမြစ်ဧရိယာတွင် ထိုးဆေးအများအပြားကို ရှာဖွေတွေ့ရှိရန် မဖြစ်နိုင်ပါ။

XSS

စကန်ဖတ်စက်သည် ပေးထားသည့်လုပ်ငန်းကို ပြီးပြည့်စုံစွာဖြေရှင်းပြီး ပြင်ဆင်ထားသည့် အားနည်းချက်အားလုံးကို တွေ့ရှိသည်-

LFI/RFI

စကင်နာသည် အောက်ခြေအားနည်းချက်အားလုံးကို တွေ့ရှိသည်-

ယေဘုယျအားဖြင့်၊ မှားယွင်းသောအပြုသဘောဆောင်မှုများနှင့် အားနည်းချက်များပျောက်နေသော်လည်း အခမဲ့ကိရိယာတစ်ခုအနေဖြင့် Wapiti သည် စွမ်းဆောင်ရည်ကောင်းမွန်သောရလဒ်များကိုပြသသည်။ မည်သို့ပင်ဆိုစေကာမူ စကင်နာသည် အလွန်အစွမ်းထက်ပြီး၊ လိုက်လျောညီထွေရှိပြီး ဘက်စုံသုံးနိုင်သော၊ အရေးကြီးဆုံးမှာ၊ ၎င်းသည် အခမဲ့ဖြစ်သည်၊ ထို့ကြောင့် ၎င်းကို စီမံခန့်ခွဲသူများနှင့် ဆော့ဖ်ဝဲအင်ဂျင်နီယာများက ဝဘ်တစ်ခု၏ လုံခြုံရေးအခြေအနေနှင့်ပတ်သက်သော အခြေခံအချက်အလက်များရရှိရန် ကူညီပေးရာတွင် အသုံးပြုခွင့်ရှိသည်။ လျှောက်လွှာ။

ကျန်းမာစွာနေထိုင်ပြီး ကာကွယ်ပါ။

source: www.habr.com