For en tid siden skrev jeg om , men litt mager og kaotisk. Etterpå bestemte jeg meg for å utvide listen over verktøy i anmeldelsen, legge til struktur i artikkelen og ta kritikk i betraktning (tusen takk for råd) og sendte den til en konkurranse på SecLab (og publisert , men av alle åpenbare grunner så ingen henne). Konkurransen er over, resultatene er offentliggjort og med god samvittighet kan jeg publisere den (artikkelen) på Habré.
Gratis webapplikasjon Pentester-verktøy
I denne artikkelen vil jeg snakke om de mest populære verktøyene for penetrering (penetrasjonstester) av webapplikasjoner ved å bruke "black box"-strategien.
For å gjøre dette, vil vi se på verktøy som vil hjelpe med denne typen testing. Vurder følgende produktkategorier:
- Nettverksskannere
- Skannere for brudd på nettskript
- Utnyttelse
- Automatisering av injeksjoner
- Debuggere (sniffere, lokale proxyer, etc.)
Noen produkter har en universell "karakter", så jeg vil klassifisere dem i kategorien der de har enоbedre resultat (subjektiv mening).
Nettverksskannere.
Hovedoppgaven er å oppdage tilgjengelige nettverkstjenester, installere versjonene deres, bestemme OS, etc.
Nmap
er et gratis og åpen kildekodeverktøy for nettverksanalyse og systemsikkerhetsrevisjon. Voldelige motstandere av konsollen kan bruke Zenmap, som er en GUI for Nmap.
Dette er ikke bare en "smart" skanner, det er et seriøst utvidbart verktøy (en av de "uvanlige funksjonene" er tilstedeværelsen av et skript for å sjekke en node for tilstedeværelsen av en orm "" (nevnt ). Typisk brukseksempel:
nmap -A -T4 localhost
-A for OS-versjonsdeteksjon, skriptskanning og sporing
-T4 tidskontrollinnstilling (mer er raskere, fra 0 til 5)
localhost - målvert
Noe tøffere?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Dette er et sett med alternativer fra profilen "langsom omfattende skanning" i Zenmap. Det tar ganske lang tid å fullføre, men gir til slutt mer detaljert informasjon som kan bli funnet ut om målsystemet. , hvis du bestemmer deg for å gå dypere, anbefaler jeg også å oversette artikkelen .
Nmap har fått status som "Årets sikkerhetsprodukt" fra magasiner og samfunn som Linux Journal, Info World, LinuxQuestions.Org og Codetalker Digest.
Et interessant poeng, Nmap kan sees i filmene "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" og .
IP-Tools
- et slags sett med forskjellige nettverksverktøy, kommer med en GUI, "dedikert" til Windows-brukere.
Portskanner, delte ressurser (delte skrivere/mapper), WhoIs/Finger/Lookup, telnet-klient og mye mer. Bare et praktisk, raskt, funksjonelt verktøy.
Det er ikke noe spesielt poeng å vurdere andre produkter, siden det er mange verktøy på dette området, og de har alle lignende driftsprinsipper og funksjonalitet. Likevel er nmap fortsatt det mest brukte.
Skannere for brudd på nettskript
Prøver å finne populære sårbarheter (SQL inj, XSS, LFI/RFI, etc.) eller feil (ikke slettede midlertidige filer, katalogindeksering osv.)
Acunetix web sårbarhetsskanner
— fra lenken kan du se at dette er en xss-skanner, men dette er ikke helt sant. Gratisversjonen, tilgjengelig her, gir ganske mye funksjonalitet. Vanligvis opplever personen som kjører denne skanneren for første gang og mottar en rapport om ressursen sin for første gang, et lite sjokk, og du vil forstå hvorfor når du gjør dette. Dette er et veldig kraftig produkt for å analysere alle slags sårbarheter på et nettsted og fungerer ikke bare med de vanlige PHP-nettstedene, men også på andre språk (selv om forskjellen i språk ikke er en indikator). Det er ikke noe spesielt poeng i å beskrive instruksjonene, siden skanneren ganske enkelt "plukker opp" brukerens handlinger. Noe som ligner på "neste, neste, neste, klar" i en typisk programvareinstallasjon.
Nikto
Dette er en åpen kildekode (GPL) webcrawler. Eliminerer rutinemessig manuelt arbeid. Søker på målnettstedet etter skript som ikke er slettet (noen test.php, index_.php, etc.), databaseadministrasjonsverktøy (/phpmyadmin/, /pma og lignende), osv., dvs. sjekker ressursen for de vanligste feilene vanligvis forårsaket av menneskelige faktorer.
I tillegg, hvis den finner et populært skript, sjekker det det for utgitte utnyttelser (som er i databasen).
Rapporterer tilgjengelige "uønskede" metoder som PUT og TRACE
Og så videre. Det er veldig praktisk hvis du jobber som revisor og analyserer nettsider hver dag.
Av minusene vil jeg merke meg den høye prosentandelen falske positive. For eksempel, hvis nettstedet ditt alltid gir hovedfeilen i stedet for en 404-feil (når den skulle oppstå), vil skanneren si at nettstedet ditt inneholder alle skriptene og alle sårbarhetene fra databasen. I praksis skjer ikke dette så ofte, men som et faktum avhenger mye av strukturen på nettstedet ditt.
Klassisk bruk:
./nikto.pl -host localhost
Hvis du trenger å være autorisert på nettstedet, kan du sette en informasjonskapsel i nikto.conf-filen, variabelen STATIC-COOKIE.
Wikto
— Nikto for Windows, men med noen tillegg, for eksempel "fuzzy" logikk ved kontroll av kode for feil, bruk av GHDB, innhenting av lenker og ressursmapper, sanntidsovervåking av HTTP-forespørsler/svar. Wikto er skrevet i C# og krever .NET-rammeverket.
skipfisk
- web sårbarhetsskanner fra (kjent som lcamtuf). Skrevet i C, på tvers av plattformer (Win krever Cygwin). Rekursivt (og i veldig lang tid, omtrent 20~40 timer, selv om forrige gang det fungerte for meg var 96 timer) gjennomsøker den hele nettstedet og finner alle slags sikkerhetshull. Det genererer også mye trafikk (flere GB innkommende/utgående). Men alle midler er gode, spesielt hvis du har tid og ressurser.
Typisk bruk:
./skipfish -o /home/reports www.example.com
I mappen "rapporter" vil det være en rapport i html, .
w3af
— Web Application Attack and Audit Framework, åpen kildekode nettsårbarhetsskanner. Den har en GUI, men du kan jobbe fra konsollen. Mer presist er det et rammeverk med .
Du kan snakke om fordelene i lang tid, det er bedre å prøve det :] Typisk arbeid med det kommer ned til å velge en profil, spesifisere et mål og faktisk lansere det.
Mantra Security Framework
er en drøm som gikk i oppfyllelse. En samling gratis og åpne informasjonssikkerhetsverktøy innebygd i en nettleser.
Veldig nyttig ved testing av webapplikasjoner i alle stadier.
Bruk koker ned til å installere og starte nettleseren.
Faktisk er det mange verktøy i denne kategorien, og det er ganske vanskelig å velge en spesifikk liste fra dem. Oftest bestemmer hver pentester selv hvilket sett med verktøy han trenger.
Utnyttelse
For automatisert og mer praktisk utnyttelse av sårbarheter skrives utnyttelser i programvare og skript, som bare trenger å sendes parametere for å utnytte sikkerhetshullet. Og det er produkter som eliminerer behovet for å manuelt søke etter utnyttelser, og til og med bruke dem på fly. Denne kategorien vil nå bli diskutert.
Metasploit Framework
- et slags monster i vår virksomhet. Han kan gjøre så mye at instruksjonene vil dekke flere artikler. Vi skal se på automatisk utnyttelse (nmap + metasploit). Poenget er dette: Nmap vil analysere porten vi trenger, installere tjenesten, og metasploit vil prøve å bruke utnyttelser på den basert på tjenesteklassen (ftp, ssh, etc.). I stedet for tekstinstruksjoner, vil jeg sette inn en video, ganske populær om emnet autopwn
Eller vi kan ganske enkelt automatisere driften av utnyttelsen vi trenger. For eksempel:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Faktisk er mulighetene til dette rammeverket svært omfattende, så hvis du bestemmer deg for å gå dypere, gå til
Armitage
— OVA av cyberpunk-sjangeren GUI for Metasploit. Visualiserer målet, anbefaler utnyttelser og gir avanserte funksjoner i rammeverket. Generelt, for de som liker at alt ser vakkert og imponerende ut.
Screencast:
Tenable Nessus®
- kan gjøre mange ting, men en av egenskapene vi trenger fra det er å bestemme hvilke tjenester som har utnyttelser. Gratisversjon av produktet "kun hjemme"
Использование:
- Lastet ned (for ditt system), installert, registrert (nøkkelen sendes til din e-post).
- Startet serveren, la brukeren til Nessus Server Manager (Administrer brukere-knappen)
- Vi går til adressen
https://localhost:8834/
og få flash-klienten i nettleseren
- Skanninger -> Legg til -> fyll ut feltene (ved å velge skanneprofilen som passer oss) og klikk Skann
Etter en tid vil skannerapporten vises i kategorien Rapporter
For å sjekke den praktiske sårbarheten til tjenester for utnyttelse, kan du bruke Metasploit Framework beskrevet ovenfor eller prøve å finne en utnyttelse (for eksempel på , , etc.) og bruk den manuelt mot systemet sitt
IMHO: for klumpete. Jeg tok ham med som en av lederne i denne retningen av programvareindustrien.
Automatisering av injeksjoner
Mange av nettappens sek-skannere søker etter injeksjoner, men de er fortsatt bare generelle skannere. Og det er verktøy som spesifikt omhandler søk etter og utnyttelse av injeksjoner. Vi skal snakke om dem nå.
sqlmap
— åpen kildekode-verktøy for å søke og utnytte SQL-injeksjoner. Støtter databaseservere som: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typisk bruk koker ned til linjen:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Det er nok manualer, inkludert på russisk. Programvaren letter i stor grad arbeidet til en pentester når han jobber med dette området.
Jeg legger til en offisiell videodemonstrasjon:
bsqlbf-v2
- et perl-skript, en brutal force for "blinde" SQL-injeksjoner. Det fungerer både med heltallsverdier i url og med strengverdier.
Database støttet:
- MS-SQL
- MySQL
- PostgreSQL
- Oracle
Brukseksempel:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Koble til parametere
-blind u — parameter for injeksjon (som standard er den siste hentet fra adresselinjen)
-sql "velg tabellnavn fra imformation_schema.tables limit 1 offset 0" — vår vilkårlige forespørsel til databasen
-database 1 — databaseserver: MSSQL
-type 1 - type angrep, "blind" injeksjon, basert på True and Error (for eksempel syntaksfeil) svar
Debuggere
Disse verktøyene brukes hovedsakelig av utviklere når de har problemer med resultatene av å utføre koden deres. Men denne retningen er også nyttig for pentesting, når vi kan erstatte dataene vi trenger i farten, analysere hva som kommer som svar på inngangsparametrene våre (for eksempel under fuzzing), etc.
Burp-suite
— et sett med verktøy som hjelper med penetrasjonstester. Det er på Internett på russisk fra Raz0r (dog for 2008).
Gratisversjonen inkluderer:
- Burp Proxy er en lokal proxy som lar deg endre allerede genererte forespørsler fra nettleseren
- Burp Spider - edderkopp, søker etter eksisterende filer og kataloger
- Burp Repeater - sending av HTTP-forespørsler manuelt
- Burp Sequencer - analyserer tilfeldige verdier i skjemaer
- Burp Decoder er en standard koder-dekoder (html, base64, hex, etc.), som det er tusenvis av, som raskt kan skrives på alle språk
- Burp Comparer - String Comparison Component
I prinsippet løser denne pakken nesten alle problemer knyttet til dette området.
Fiddler
— Fiddler er en debugging proxy som logger all HTTP(S) trafikk. Lar deg undersøke denne trafikken, angi bruddpunkter og "leke" med innkommende eller utgående data.
Det er også , monster og andre, valget er opp til brukeren.
Konklusjon
Naturligvis har hver pentester sitt eget arsenal og sitt eget sett med verktøy, siden det ganske enkelt er mange av dem. Jeg prøvde å liste noen av de mest praktiske og populære. Men slik at alle kan gjøre seg kjent med andre verktøy i denne retningen, vil jeg gi lenker nedenfor.
Ulike topper/lister over skannere og verktøy
- .
Linux-distribusjoner som allerede inkluderer en haug med forskjellige pentesting-verktøy
upd: på russisk fra "Hack4Sec"-teamet (lagt til )
PS Vi kan ikke tie om XSpider. Deltar ikke i anmeldelsen, selv om det er shareware (det fant jeg ut da jeg sendte artikkelen til SecLab, faktisk på grunn av dette (ikke kunnskap, og mangel på siste versjon 7.8) og inkluderte det ikke i artikkelen). Og i teorien var det planlagt en gjennomgang av det (jeg har vanskelige tester forberedt på det), men jeg vet ikke om verden vil se det.
PPS Noe materiale fra artikkelen vil bli brukt til det tiltenkte formålet i en kommende rapport kl 2012 i QA-delen, som vil inneholde verktøy som ikke er nevnt her (gratis, selvfølgelig), samt algoritmen, i hvilken rekkefølge du skal bruke hva, hvilket resultat du kan forvente, hvilke konfigurasjoner du skal bruke og alle slags hint og triks når arbeider (jeg tenker på rapporten nesten hver dag, jeg vil prøve å fortelle deg alt det beste om emnet)
Det var forresten en leksjon om denne artikkelen kl Åpne InfoSec Days (, ), kan rane korovane ta en titt .
Kilde: www.habr.com