Pred časom som písal o , ale trochu skromné a chaotické. Následne som sa rozhodol v recenzii rozšíriť zoznam nástrojov, pridať do článku štruktúru a zohľadniť kritiku (veľká vďaka o radu) a poslali ho do súťaže na SecLab (a zverejnili , ale zo všetkých zrejmých dôvodov ju nikto nevidel). Súťaž je ukončená, výsledky sú vyhlásené a s čistým svedomím to môžem (článok) zverejniť na Habré.
Bezplatná webová aplikácia Pentester Tools
V tomto článku budem hovoriť o najpopulárnejších nástrojoch na pentesting (penetračné testy) webových aplikácií pomocou stratégie „black box“.
Aby sme to dosiahli, pozrieme sa na pomocné programy, ktoré pomôžu s týmto typom testovania. Zvážte nasledujúce kategórie produktov:
- Sieťové skenery
- Skenery prelomenia webových skriptov
- Vykorisťovanie
- Automatizácia injekcií
- Debuggery (sniffery, lokálne proxy atď.)
Niektoré produkty majú univerzálny “charakter”, preto ich zaradím do kategórie, v ktorej majú aоlepší výsledok (subjektívny názor).
Sieťové skenery.
Hlavnou úlohou je objaviť dostupné sieťové služby, nainštalovať ich verzie, určiť OS atď.
Nmap
je bezplatný nástroj s otvoreným zdrojovým kódom na analýzu siete a audit bezpečnosti systému. Násilní odporcovia konzoly môžu použiť Zenmap, čo je GUI pre Nmap.
Toto nie je len „inteligentný“ skener, je to seriózny rozšíriteľný nástroj (jedna z „nezvyčajných funkcií“ je prítomnosť skriptu na kontrolu uzla na prítomnosť červa ““ (spomenuté ). Typický príklad použitia:
nmap -A -T4 localhost
-A pre detekciu verzie OS, skenovanie skriptov a sledovanie
-T4 nastavenie časového ovládania (viac, tým rýchlejšie, od 0 do 5)
localhost – cieľový hostiteľ
Niečo tvrdšie?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Toto je sada možností z profilu „pomalé komplexné skenovanie“ v Zenmape. Dokončenie trvá pomerne dlho, ale v konečnom dôsledku poskytuje podrobnejšie informácie, ktoré možno zistiť o cieľovom systéme. , ak sa rozhodnete ísť hlbšie, odporúčam aj preložiť článok .
Nmap získal status "Bezpečnostný produkt roka" od časopisov a komunít ako Linux Journal, Info World, LinuxQuestions.Org a Codetalker Digest.
Zaujímavosťou je, že Nmap je možné vidieť vo filmoch „The Matrix Reloaded“, „Die Hard 4“, „The Bourne Ultimatum“, „Hottabych“ a .
IP-Tools
- druh súboru rôznych sieťových nástrojov, dodáva sa s GUI, „vyhradeným“ používateľom systému Windows.
Skener portov, zdieľané zdroje (zdieľané tlačiarne/priečinky), WhoIs/Finger/Lookup, telnet klient a mnoho ďalšieho. Len pohodlný, rýchly a funkčný nástroj.
Nemá zmysel uvažovať o iných produktoch, pretože v tejto oblasti existuje veľa nástrojov a všetky majú podobné princípy fungovania a funkčnosť. Napriek tomu zostáva nmap najčastejšie používaným.
Skenery prelomenia webových skriptov
Pokus o nájdenie populárnych zraniteľností (SQL inj, XSS, LFI/RFI atď.) alebo chýb (nevymazané dočasné súbory, indexovanie adresárov atď.)
Webový skener zraniteľnosti Acunetix
— z odkazu môžete vidieť, že ide o xss skener, ale nie je to úplne pravda. Bezplatná verzia, ktorá je k dispozícii tu, poskytuje pomerne veľa funkcií. Osoba, ktorá spúšťa tento skener prvýkrát a po prvýkrát dostane správu o svojom zdroji, zvyčajne zažije mierny šok a vy pochopíte, prečo to urobíte. Ide o veľmi výkonný produkt na analýzu všetkých druhov zraniteľností na webovej stránke a funguje nielen s bežnými webovými stránkami PHP, ale aj v iných jazykoch (hoci rozdiel v jazyku nie je indikátorom). Opisovanie pokynov nemá žiadny konkrétny zmysel, pretože skener jednoducho „zachytáva“ akcie používateľa. Niečo podobné ako „ďalší, ďalší, ďalší, pripravený“ v typickej inštalácii softvéru.
nikto
Toto je webový prehľadávač s otvoreným zdrojom (GPL). Odstraňuje rutinnú manuálnu prácu. Vyhľadá na cieľovej stránke nevymazané skripty (niektoré test.php, index_.php atď.), nástroje na správu databázy (/phpmyadmin/, /pma a podobne) atď., čiže skontroluje zdroj na najčastejšie chyby zvyčajne spôsobené ľudským faktorom.
Navyše, ak nájde nejaký populárny skript, skontroluje, či neobsahuje vydané exploity (ktoré sú v databáze).
Hlási dostupné „nežiaduce“ metódy ako PUT a TRACE
A tak ďalej. Je veľmi výhodné, ak pracujete ako audítor a analyzujete webové stránky každý deň.
Z mínusov by som rád poznamenal vysoké percento falošne pozitívnych výsledkov. Napríklad, ak vaša stránka vždy zobrazí hlavnú chybu namiesto chyby 404 (kedy by sa mala vyskytnúť), potom skener povie, že vaša stránka obsahuje všetky skripty a všetky zraniteľnosti z databázy. V praxi sa to tak často nestáva, no v skutočnosti veľa závisí od štruktúry vašej stránky.
Klasické použitie:
./nikto.pl -host localhost
Ak potrebujete mať na stránke autorizáciu, môžete nastaviť cookie v súbore nikto.conf, premenná STATIC-COOKIE.
Vikto
— Nikto pre Windows, ale s niektorými doplnkami, ako je „fuzzy“ logika pri kontrole chýb v kóde, používanie GHDB, získavanie odkazov a priečinkov zdrojov, monitorovanie HTTP požiadaviek/odpovedí v reálnom čase. Wikto je napísaný v C# a vyžaduje .NET framework.
skipfish
- skener zraniteľnosti webu od (známy ako lcamtuf). Napísané v C, multiplatformové (Win vyžaduje Cygwin). Rekurzívne (a po veľmi dlhú dobu, asi 20~40 hodín, hoci naposledy mi to fungovalo 96 hodín) prehľadáva celú stránku a nachádza všetky možné bezpečnostné diery. Tiež generuje veľkú návštevnosť (niekoľko GB prichádzajúcich/odchádzajúcich). Ale všetky prostriedky sú dobré, najmä ak máte čas a zdroje.
Typické použitie:
./skipfish -o /home/reports www.example.com
V priečinku „správy“ bude správa v html, .
w3af
— Web Application Attack and Audit Framework, open-source webový skener zraniteľnosti. Má GUI, ale môžete pracovať z konzoly. Presnejšie povedané, ide o rámec s .
O jeho výhodách sa dá dlho rozprávať, radšej si to vyskúšajte :] Typická práca s ním spočíva vo výbere profilu, zadaní cieľa a vlastne jeho spustení.
Bezpečnostný rámec Mantra
je sen, ktorý sa stal skutočnosťou. Zbierka bezplatných a otvorených nástrojov na bezpečnosť informácií zabudovaných do webového prehliadača.
Veľmi užitočné pri testovaní webových aplikácií vo všetkých fázach.
Použitie sa obmedzuje na inštaláciu a spustenie prehliadača.
V skutočnosti je v tejto kategórii veľa nástrojov a je dosť ťažké z nich vybrať konkrétny zoznam. Najčastejšie si každý pentester sám určí sadu nástrojov, ktoré potrebuje.
Vykorisťovanie
Pre automatizované a pohodlnejšie využitie zraniteľností sú exploity napísané v softvéri a skriptoch, ktorým stačí odovzdať parametre, aby bolo možné využiť bezpečnostnú dieru. A existujú produkty, ktoré eliminujú potrebu manuálneho vyhľadávania exploitov a dokonca ich aplikovania za chodu. O tejto kategórii sa teraz bude diskutovať.
Metasploit Framework
- akési monštrum v našom biznise. Dokáže toho toľko, že návod sa bude týkať viacerých článkov. Pozrieme sa na automatické využívanie (nmap + metasploit). Pointa je nasledovná: Nmap analyzuje port, ktorý potrebujeme, nainštaluje službu a metasploit sa naň pokúsi aplikovať exploity na základe triedy služby (ftp, ssh atď.). Namiesto textového návodu vložím video, celkom obľúbené na tému autopwn
Alebo môžeme jednoducho automatizovať prevádzku exploitu, ktorý potrebujeme. Napr.:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
V skutočnosti sú možnosti tohto rámca veľmi rozsiahle, takže ak sa rozhodnete ísť hlbšie, prejdite na
Armitage
— OVA GUI kyberpunkového žánru pre Metasploit. Vizualizuje cieľ, odporúča exploity a poskytuje pokročilé funkcie rámca. Vo všeobecnosti pre tých, ktorí majú radi, aby všetko vyzeralo krásne a pôsobivo.
Screencast:
Tenable Nessus®
- dokáže veľa vecí, ale jednou z funkcií, ktoré od neho potrebujeme, je určiť, ktoré služby majú exploity. Bezplatná verzia produktu „len doma“
použitie:
- Stiahnuté (pre váš systém), nainštalované, zaregistrované (kľúč je zaslaný na váš e-mail).
- Spustil server, pridal používateľa do Nessus Server Manager (tlačidlo Spravovať používateľov)
- Ideme na adresu
https://localhost:8834/
a získajte flash klienta v prehliadači
- Kontroly -> Pridať -> vyplňte polia (výberom profilu skenovania, ktorý nám vyhovuje) a kliknite na Skenovať
Po určitom čase sa na karte Správy zobrazí správa o skenovaní
Ak chcete skontrolovať praktickú zraniteľnosť služieb voči exploitom, môžete použiť Metasploit Framework popísaný vyššie alebo sa pokúsiť nájsť exploit (napríklad na , , atď.) a použiť ho ručne proti jeho systém
IMHO: príliš objemné. Priviedol som ho ako jedného z lídrov v tomto smere softvérového priemyslu.
Automatizácia injekcií
Mnohé zo skenerov webových aplikácií sec vyhľadávajú injekcie, ale stále sú to len všeobecné skenery. A existujú nástroje, ktoré sa špeciálne zaoberajú vyhľadávaním a využívaním injekcií. Teraz si o nich povieme.
sqlmap
— open-source nástroj na vyhľadávanie a využívanie SQL injekcií. Podporuje databázové servery ako: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typické použitie sa scvrkáva na riadok:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Existuje dostatok príručiek, vrátane ruštiny. Softvér výrazne uľahčuje prácu pentestera pri práci v tejto oblasti.
Pridávam oficiálnu video ukážku:
bsqlbf-v2
— Perl skript, hrubá sila pre „slepé“ injekcie SQL. Funguje s celočíselnými hodnotami v adrese URL aj s hodnotami reťazca.
Podporovaná databáza:
- MS-SQL
- MySQL
- PostgreSQL
- veštec
Пример РёСЃРїРРРРерисРРРРР Р ·Р °Р ° Р °РёСЏ
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Prepojenie s parametrami
-slepý u — parameter pre vstrekovanie (štandardne sa posledný preberá z panela s adresou)
-sql "vyberte názov_tabulky z imformation_schema.tables limit 1 offset 0" — naša svojvoľná požiadavka na databázu
- databáza 1 — databázový server: MSSQL
- typ 1 — typ útoku, „slepá“ injekcia, založená na odpovediach True a Error (napríklad syntaktické chyby)
Debuggery
Tieto nástroje používajú najmä vývojári, keď majú problémy s výsledkami vykonávania svojho kódu. Tento smer je však užitočný aj pre pentesting, keď môžeme za chodu nahradiť potrebné údaje, analyzovať, čo prichádza v reakcii na naše vstupné parametre (napríklad pri fuzzingu) atď.
Suita Burp
— súbor nástrojov, ktoré pomáhajú pri penetračných testoch. Je to na internete v ruštine od Raz0r (hoci pre rok 2008).
Bezplatná verzia obsahuje:
- Burp Proxy je lokálny proxy, ktorý vám umožňuje upravovať už vygenerované požiadavky z prehliadača
- Burp Spider - pavúk, hľadá existujúce súbory a adresáre
- Burp Repeater - manuálne odosielanie HTTP požiadaviek
- Burp Sequencer - analýza náhodných hodnôt vo formulároch
- Burp Decoder je štandardný kodér-dekodér (html, base64, hex, atď.), ktorých sú tisíce, ktoré možno rýchlo napísať v akomkoľvek jazyku
- Burp Comparer – komponent porovnávania reťazcov
V zásade tento balík rieši takmer všetky problémy súvisiace s touto oblasťou.
huslista
— Fiddler je ladiaci proxy server, ktorý zaznamenáva všetku komunikáciu HTTP(S). Umožňuje vám preskúmať túto prevádzku, nastaviť body prerušenia a „hrať sa“ s prichádzajúcimi alebo odchádzajúcimi údajmi.
K dispozícii je tiež , monštrum a iné, výber je na používateľovi.
Záver
Prirodzene, každý pentester má svoj vlastný arzenál a vlastnú sadu nástrojov, pretože ich je jednoducho veľa. Pokúsil som sa uviesť niektoré z najpohodlnejších a najobľúbenejších. Aby sa však každý mohol zoznámiť s inými nástrojmi v tomto smere, nižšie uvediem odkazy.
Rôzne topy/zoznamy skenerov a pomôcok
- .
Linuxové distribúcie, ktoré už obsahujú množstvo rôznych nástrojov na testovanie
aktualizovať: v ruštine od tímu „Hack4Sec“ (pridané )
PS Nemôžeme mlčať o XSpider. Nezúčastňuje sa recenzie, hoci je shareware (zistil som, keď som článok poslal do SecLabu, vlastne kvôli tomu (nie znalosť a nedostatok najnovšej verzie 7.8) a nezahrnul som to do článku). A teoreticky bola plánovaná jeho revízia (mám na to pripravené ťažké testy), ale neviem, či to svet uvidí.
PPS Niektoré materiály z článku budú použité na zamýšľaný účel v pripravovanej správe na adrese 2012 v sekcii QA, ktorá bude obsahovať tu neuvedené nástroje (samozrejme zadarmo), ako aj algoritmus, v akom poradí čo použiť, aký výsledok očakávať, aké konfigurácie použiť a najrôznejšie rady a triky, kedy funguje (o správe premýšľam takmer každý deň, pokúsim sa vám povedať všetko najlepšie o téme témy)
Mimochodom, k tomuto článku bola lekcia na adrese Otvoriť InfoSec Days (, ), môcť okradnúť Korovanov pozri sa .
Zdroj: hab.com