bua ka lisebelisoa tse molemo bakeng sa pentesters. Sehloohong se secha re tla sheba lisebelisoa tsa ho sekaseka ts'ireletso ea lits'ebetso tsa webo.
Mosebetsi-'moho le rona Ke se ke entse ntho e kang ena hoo e ka bang lilemo tse supileng tse fetileng. Hoa thahasellisa ho bona hore na ke lisebelisoa life tse bolokileng le ho matlafatsa maemo a tsona, le hore na ke life tse senyehileng ka morao 'me ha li sa sebelisoa hangata.
Hlokomela hore sena se kenyelletsa Burp Suite, empa ho tla ba le sengoliloeng se arohaneng ka eona le li-plugins tsa eona tse molemo.
Tse ka Hare:
Bokella
- Sesebelisoa sa Go bakeng sa ho batla le ho bala li-subdomain tsa DNS le ho etsa 'mapa oa marang-rang a kantle. Amass ke projeke ea OWASP e etselitsoeng ho bonts'a hore na mekhatlo ea Marang-rang e shebahala joang ho motho ea kantle. Amass e fumana mabitso a li-subdomain ka mekhoa e fapaneng; sesebelisoa se sebelisa lipalo tse pheta-phetoang tsa li-subdomain le lipatlisiso tse bulehileng tsa mohloli.
Ho fumana likarolo tsa marang-rang tse hokahaneng le linomoro tsa sistimi e ikemetseng, Amass e sebelisa liaterese tsa IP tse fumanoeng nakong ea ts'ebetso. Lintlha tsohle tse fumanoeng li sebelisoa ho theha 'mapa oa marang-rang.
Melemo:
- Mekhoa ea ho bokella lintlha e kenyelletsa:
* DNS - patlo ea dikishinari ea li-subdomain, li-subdomain tsa bruteforce, patlo e bohlale e sebelisang liphetoho tse ipapisitseng le li-subdomain tse fumanoeng, ho khutlisa lipotso tsa DNS le ho batla li-server tsa DNS moo ho ka khonehang ho etsa kopo ea phetisetso ea libaka (AXFR);* Batla mohloli o bulehileng - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Batla datha tsa setifikeiti sa TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* U sebelisa li-API tsa enjine ea ho batla - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Batla li-archive tsa marang-rang: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Ho kopanya le Maltego;
- E fana ka ts'ebetso e felletseng ea mosebetsi oa ho batla li-subdomain tsa DNS.
Chelete:
- Ela hloko ka amass.netdomains - e tla leka ho ikopanya le aterese e 'ngoe le e' ngoe ea IP sebakeng sa marang-rang se khethiloeng mme e fumane mabitso a marang-rang ho tsoa ho li-lookups tse ka morao tsa DNS le litifikeiti tsa TLS. Ena ke mokhoa oa "high-profile", o ka senola mesebetsi ea hau ea bohlale mokhatlong o ntseng o etsoa lipatlisiso.
- Tšebeliso e phahameng ea memori, e ka ja ho fihlela ho 2 GB ea RAM maemong a fapaneng, e ke keng ea u lumella ho tsamaisa sesebelisoa sena marung ka VDS e theko e tlaase.
Altdns
- Sesebelisoa sa Python sa ho bokella lidikishinari bakeng sa ho bala li-subdomain tsa DNS. E u lumella ho hlahisa mefuta e mengata ea li-subdomain u sebelisa liphetoho le litumello. Bakeng sa sena, mantsoe a atisang ho fumanoa li-subdomains a sebelisoa (mohlala: test, dev, staging), liphetoho tsohle le litumello li sebelisoa ho li-subdomain tse seng li ntse li tsejoa, tse ka romelloang ho Altdns input. Sephetho ke lethathamo la mefuta e fapaneng ea li-subdomain tse ka bang teng, 'me lenane lena le ka sebelisoa hamorao bakeng sa matla a sehlōhō a DNS.
Melemo:
- E sebetsa hantle ka li-data tse kholo.
aquatone
- pele e ne e tsejoa e le sesebelisoa se seng sa ho batla li-subdomain, empa mongoli ka boeena o ile a lahla sena molemong oa Amass e boletsoeng ka holimo. Hona joale aquatone e se e ngotsoe bocha ho Go 'me e ikemiselitse ho fumana tsebo ea pele ho liwebsaete. Ho etsa sena, aquatone e feta libakeng tse boletsoeng ebe e batla liwebsaete likoung tse fapaneng, ka mor'a moo e bokella tlhahisoleseling eohle mabapi le sebaka seo ebe e nka skrini. E loketse bakeng sa tlhahlobo e potlakileng ea pele ea liwebsaete, ka mor'a moo o ka khetha lipehelo tsa pele bakeng sa litlhaselo.
Melemo:
- Sephetho se theha sehlopha sa lifaele le lifoldara tse bonolo ho li sebelisa ha u ntse u sebetsa le lisebelisoa tse ling:
* Tlaleho ea HTML e nang le linepe tse bokelletsoeng le lihlooho tsa karabelo tse hlophisitsoeng ka ho tšoana;* Faele e nang le li-URL tsohle moo liwebosaete li fumanoeng teng;
* Faele e nang le lipalo-palo le lintlha tsa leqephe;
* Foldara e nang le lifaele tse nang le lihlooho tsa likarabo ho tsoa ho liphofu tse fumanoeng;
* Foldara e nang le lifaele tse nang le 'mele oa karabo ho tsoa ho lipheo tse fumanoeng;
* Lits'oants'o tsa liwebosaete tse fumanoeng;
- E tšehetsa ho sebetsa ka litlaleho tsa XML tse tsoang Nmap le Masscan;
- E sebelisa Chrome/Chromium e se nang hlooho ho fana ka linepe tsa skrini.
Chelete:
- E ka 'na ea hohela tlhokomelo ea litsamaiso tsa ho lemoha ho kenella, kahoo e hloka tlhophiso.
Setšoantšo sa skrini se nkiloe bakeng sa e 'ngoe ea liphetolelo tsa khale tsa aquatone (v0.5.0), eo ho eona ho phenyekollang li-subdomain tsa DNS ho ileng ha sebelisoa. Liphetolelo tsa khale li ka fumanoa ho .
MassDNS
ke sesebelisoa se seng sa ho fumana li-subdomain tsa DNS. Phapang ea eona e kholo ke hore e etsa lipotso tsa DNS ka kotloloho ho bahlahisi ba bangata ba DNS mme e etsa joalo ka lebelo le leholo.
Melemo:
- Ho potlaka - ho khona ho rarolla mabitso a fetang likete tse 350 motsotsoana.
Chelete:
- MassDNS e ka baka mojaro o moholo ho li-resolute tsa DNS tse sebelisoang, tse ka lebisang ho thibeloa ho li-server kapa litletlebo ho ISP ea hau. Ho phaella moo, e tla beha mojaro o moholo ho li-server tsa DNS tsa k'hamphani, haeba li na le tsona le haeba li ikarabella bakeng sa libaka tseo u lekang ho li rarolla.
- Lenane la li-solvents ha joale le siiloe ke nako, empa haeba u khetha li-resolvers tsa DNS tse robehileng ebe u eketsa tse ncha tse tsejoang, tsohle li tla loka.
Setšoantšo sa skrini sa aquatone v0.5.0
nsec3mapa
ke sesebelisoa sa Python sa ho fumana lenane le felletseng la libaka tse sirelelitsoeng ke DNSSEC.
Melemo:
- Ka potlako e sibolla mabotho libakeng tsa DNS ka palo e fokolang ea lipotso haeba tšehetso ea DNSSEC e lumelletsoe sebakeng;
- E kenyelletsa plugin ea John the Ripper e ka sebelisoang ho qhekella li-hashes tse hlahisoang ke NSEC3.
Chelete:
- Liphoso tse ngata tsa DNS ha li tšoaroe ka nepo;
- Ha ho na papiso e iketsang ea ho sebetsana le lirekoto tsa NSEC - o tlameha ho arola sebaka sa mabitso ka letsoho;
- Tšebeliso e phahameng ea mohopolo.
Acunetix
- sehatisi sa ts'ireletso ea tepo se iketsetsang ts'ebetso ea ho lekola ts'ireletso ea lits'ebetso tsa webo. E leka ts'ebeliso ea liente tsa SQL, XSS, XXE, SSRF le bofokoli bo bong ba tepo. Leha ho le joalo, joalo ka scanner efe kapa efe, mefuta e fapaneng ea bofokoli ba marang-rang ha e nke sebaka sa pentester, kaha e ke ke ea fumana liketane tse rarahaneng tsa bofokoli kapa bofokoli mohopolong. Empa e akaretsa bofokoli bo bongata bo fapaneng, ho kenyeletsoa le li-CVE tse fapaneng, tseo pentester a ka beng a lebetse ka tsona, ka hona ho bonolo haholo ho u lokolla lichekeng tse tloaelehileng.
Melemo:
- Boemo bo tlase ba maikutlo a fosahetseng;
- Liphetho li ka romelloa kantle ho naha joalo ka litlaleho;
- E etsa licheke tse ngata bakeng sa bofokoli bo fapaneng;
- Ho hlahlojoa ka tsela e tšoanang ea li-host tse ngata.
Chelete:
- Ha ho na algorithm ea deduplication (Acunetix e tla nka maqephe a ts'oanang ts'ebetsong a fapane, kaha a lebisa ho li-URL tse fapaneng), empa bahlahisi ba ntse ba sebetsa ho eona;
- E hloka ho kengoa ho seva e arohaneng ea webo, e thatafatsang lits'ebetso tsa bareki ba liteko ka khokahano ea VPN le ho sebelisa sehatisi karolong e ka thoko ea marang-rang a bareki ba lehae;
- Ts'ebeletso e ithutoang e ka etsa lerata, ka mohlala, ka ho romela li-vector tse ngata haholo ho foromo ea ho ikopanya le setšeng, ka hona ho thatafatsa lits'ebetso tsa khoebo haholo;
- Ke mong'a ntlo, ka hona, ha se tharollo ea mahala.
Patlisiso
- Sesebelisoa sa Python bakeng sa li-directory le lifaele tse liwebsaeteng.
Melemo:
- E ka khetholla maqephe a 'nete a "200 OK" ho tloha maqepheng a "200 OK", empa ka mongolo "leqephe ha le fumanehe";
- E tla le buka e hlalosang mantsoe e nang le botsitso lipakeng tsa boholo le bokhoni ba ho batla. E na le litsela tse tloaelehileng tse tloaelehileng ho CMS tse ngata le mekotla ea theknoloji;
- Sebopeho sa eona sa dikishinari, se u lumellang hore u fihlele ts'ebetso e ntle le bonolo ha u bala lifaele le li-directory;
- Sephetho se bonolo - mongolo o hlakileng, JSON;
- E ka etsa throttling - khefu pakeng tsa likopo, tse bohlokoa bakeng sa ts'ebeletso efe kapa efe e fokolang.
Chelete:
- Li-extensions li tlameha ho fetisoa e le khoele, e leng ntho e sa thabiseng haeba u hloka ho fetisa lisebelisoa tse ngata ka nako e le 'ngoe;
- Hore o tle o sebedise bukantswe ya hao, e tla hloka ho fetolwa ha nyane hore e be sebopeho sa bukantswe ya Dirsearch bakeng sa ho sebetsa hantle haholo.
wfuzz
- Fuzzer ea ts'ebeliso ea webo ea Python. Mohlomong ke e 'ngoe ea li-web phasers tse tsebahalang haholo. Molao-motheo o bonolo: wfuzz e u lumella ho kenya sebaka leha e le sefe ka kopo ea HTTP, e leng se etsang hore ho khonehe ho kenya mekhahlelo ea GET / POST, lihlooho tsa HTTP, ho akarelletsa le Cookie le lihlooho tse ling tsa netefatso. Ka nako e ts'oanang, e boetse e loketse matla a bonolo a brute a li-directory le lifaele, tseo u hlokang bukana e ntle bakeng sa tsona. E boetse e na le sistimi e feto-fetohang ea filthara, eo ka eona u ka sefang likarabo ho tsoa ho webosaete ho latela mekhahlelo e fapaneng, e u lumellang ho fihlela liphetho tse sebetsang.
Melemo:
- Multifunctional - sebopeho sa modular, kopano e nka metsotso e seng mekae;
- Mokhoa o bonolo oa ho sefa le ho fuzzing;
- O ka kenya mokhoa ofe kapa ofe oa HTTP, hammoho le sebaka sefe kapa sefe ka kopo ea HTTP.
Chelete:
- Tlas'a nts'etsopele.
fuf
- fuzzer ea marang-rang ho Go, e entsoeng ka "setšoantšo le sebōpeho" sa wfuzz, e u lumella ho senya lifaele, li-directory, litsela tsa URL, mabitso le boleng ba liparamente tsa GET / POST, lihlooho tsa HTTP, ho kenyeletsoa hlooho ea Host bakeng sa matla a sehlōhō. ea mabotho a sebele. wfuzz e fapana le mor'abo eona ka lebelo le holimo le likarolo tse ling tse ncha, mohlala, e tšehetsa lidikishinari tsa sebopeho sa Dirsearch.
Melemo:
- Li-filters li tšoana le li-filters tsa wfuzz, li u lumella ho hlophisa matla a sehlōhō;
- E u lumella ho kopanya boleng ba lihlooho tsa HTTP, data ea kopo ea POST le likarolo tse fapaneng tsa URL, ho kenyelletsa mabitso le boleng ba liparamente tsa GET;
- O ka hlalosa mokhoa ofe kapa ofe oa HTTP.
Chelete:
- Tlas'a nts'etsopele.
moferefere
- sesebelisoa sa Go bakeng sa tlhahlobo, se na le mekhoa e 'meli ea ts'ebetso. Ea pele e sebelisetsoa ho senya lifaele le li-directory ho websaeteng, ea bobeli e sebelisetsoa ho qobella li-subdomain tsa DNS. Qalong sesebelisoa ha se tšehetse ho baloa ho pheta-pheta ha lifaele le li-directory, tseo, ehlile, li bolokang nako, empa ka lehlakoreng le leng, matla a sehlōhō a pheletso e 'ngoe le e' ngoe e ncha webosaeteng e tlameha ho hlahisoa ka thoko.
Melemo:
- Lebelo le phahameng la ts'ebetso bakeng sa ho batla ka matla ho li-subdomain tsa DNS le bakeng sa matla a sehlōhō a lifaele le li-directory.
Chelete:
- Mofuta oa hajoale ha o tšehetse ho hlophisa lihlooho tsa HTTP;
- Ka ho sa feleng, ke tse ling feela tsa likhoutu tsa boemo ba HTTP (200,204,301,302,307) tse nkoang li nepahetse.
Arjun
- sesebelisoa sa matla a sehlōhō a liparamente tse patiloeng tsa HTTP ho GET/POST paramente, hammoho le ho JSON. Bukana e hahelletsoeng ka hare e na le mantsoe a 25, ao Ajrun a a hlahlobang ka metsotsoana e ka bang 980. Leqheka ke hore Ajrun ha e hlahlobe paramente e 'ngoe le e' ngoe ka thoko, empa e sheba ~ liparamente tse 30 ka nako 'me e bone hore na karabo e fetohile. Haeba karabo e fetohile, e arola mekhahlelo ena ea 1000 ka likarolo tse peli 'me e hlahloba hore na ke efe ea likarolo tsena e amang karabo. Ka hona, ho sebelisa patlisiso e bonolo ea binary, parameter kapa mekhahlelo e mengata e patiloeng e fumanoa e susumelitseng karabo, ka hona, e ka ba teng.
Melemo:
- Lebelo le phahameng ka lebaka la ho batla binary;
- Tšehetso bakeng sa li-parameter tsa GET / POST, hammoho le li-parameter ka mokhoa oa JSON;
Plugin ea Burp Suite e sebetsa ka molao-motheo o ts'oanang - , eo hape e ntle haholo ho fumana liparamente tsa HTTP tse patiloeng. Re tla u joetsa haholoanyane ka eona sengolong se tlang mabapi le Burp le li-plugins tsa eona.
LinkFinder
- sengoloa sa Python bakeng sa ho batla lihokelo ho lifaele tsa JavaScript. E thusa ho fumana lintlha tse patiloeng kapa tse lebetsoeng / li-URL ts'ebelisong ea webo.
Melemo:
- Ka potlako;
- Ho na le plugin e khethehileng ea Chrome e thehiloeng ho LinkFinder.
.
Chelete:
- Qetello e sa thabiseng ea ho qetela;
- Ha e hlahlobe JavaScript ha nako e ntse e ea;
- Ho na le mabaka a bonolo a ho batla lihokelo - haeba JavaScript e sa utloahale ka tsela e itseng, kapa lihokelo li haella qalong 'me li hlahisoa ka matla, e ke ke ea khona ho fumana letho.
JSParser
ke mongolo oa Python o sebelisang и ho hlahisa li-URL tse amanang le lifaele tsa JavaScript. E bohlokoa haholo bakeng sa ho bona likopo tsa AJAX le ho hlophisa lethathamo la mekhoa ea API eo sesebelisoa se sebelisanang le eona. E sebetsa ka katleho hammoho le LinkFinder.
Melemo:
- Phatlalatso e potlakileng ea lifaele tsa JavaScript.
sqlmap
mohlomong ke e 'ngoe ea lisebelisoa tse tsebahalang haholo tsa ho sekaseka lits'ebetso tsa webo. Sqlmap e iketsetsa patlo le ts'ebetso ea liente tsa SQL, e sebetsa ka lipuo tse 'maloa tsa SQL,' me e na le mekhoa e mengata e fapaneng sebakeng sa eona sa pokello ea lihlahisoa, ho tloha ho mantsoe a qotsitsoeng ka kotloloho ho isa ho li-vector tse rarahaneng bakeng sa liente tsa SQL tsa nako. Ho feta moo, e na le mekhoa e mengata ea tšebeliso e eketsehileng bakeng sa li-DBMS tse fapa-fapaneng, kahoo ha e na thuso feela joaloka mochine oa liente tsa SQL, empa hape e le sesebelisoa se matla sa ho sebelisa liente tsa SQL tse seng li fumanoe.
Melemo:
- Palo e kholo ea mekhoa le li-vector tse fapaneng;
- Palo e tlase ea lintlha tse fosahetseng;
- Likhetho tse ngata tsa tokiso e ntle, mekhoa e fapaneng, polokelo ea polokelo ea litaba, lingoloa tsa tamper bakeng sa ho feta WAF;
- Bokhoni ba ho theha thotobolo ea lihlahisoa;
- Mekhoa e mengata e fapaneng ea ts'ebetso, mohlala, bakeng sa li-database tse ling - ho kenya / ho laolla lifaele ka mokhoa o itekanetseng, ho fumana bokhoni ba ho phethahatsa litaelo (RCE) le tse ling;
- Ts'ehetso bakeng sa khokahano e tobileng ho database ho sebelisa data e fumanoeng nakong ea tlhaselo;
- U ka fana ka faele ea mongolo e nang le liphetho tsa Burp joalo ka kenyeletso - ha ho na tlhoko ea ho qapa litšoaneleho tsohle tsa mola oa taelo.
Chelete:
- Ho thata ho iketsetsa, mohlala, ho ngola tse ling tsa licheke tsa hau ka lebaka la litokomane tse haellang bakeng sa sena;
- Ntle le litlhophiso tse nepahetseng, e etsa sete e sa phethahalang ea licheke, tse ka khelosang.
NoSQLMap
- Sesebelisoa sa Python sa ho iketsetsa lipatlisiso le tšebeliso ea liente tsa NoSQL. Ho bonolo ho e sebelisa eseng feela litsing tsa marang-rang tsa NoSQL, empa hape le ka kotloloho ha o hlahloba lits'ebetso tsa webo tse sebelisang NoSQL.
Melemo:
- Joalo ka sqlmap, ha e fumane feela bofokoli bo ka bang teng, empa e boetse e lekola monyetla oa tšebeliso ea eona bakeng sa MongoDB le CouchDB.
Chelete:
- Ha e tšehetse NoSQL bakeng sa Redis, Cassandra, nts'etsopele e ntse e tsoela pele ntlheng ena.
oxml_xxe
- sesebelisoa sa ho kenyelletsa XXE XML e sebelisa mefuta e fapaneng ea lifaele tse sebelisang sebopeho sa XML ka mokhoa o itseng.
Melemo:
- E tšehetsa liforomo tse ngata tse tloaelehileng tse kang DOCX, ODT, SVG, XML.
Chelete:
- Tšehetso bakeng sa PDF, JPEG, GIF ha e sebetse ka botlalo;
- E etsa faele e le 'ngoe feela. Ho rarolla bothata bona, o ka sebelisa sesebelisoa , e ka etsang palo e kholo ea lifaele tsa tefo libakeng tse fapaneng.
Lisebelisoa tse ka holimo li etsa mosebetsi o motle oa ho hlahloba XXE ha u kenya litokomane tse nang le XML. Empa hape u hopole hore li-formats tsa XML li ka fumanoa maemong a mang a mangata, mohlala, XML e ka sebelisoa e le mokhoa oa data ho e-na le JSON.
Ka hona, re khothaletsa hore o ele hloko polokelo e latelang, e nang le palo e kholo ea meputso e fapaneng: .
tplmap
- Sesebelisoa sa Python bakeng sa ho tsebahatsa le ho sebelisa hampe bofokoli ba Ente ea Template ea Server-Side; e na le litlhophiso le lifolakha tse tšoanang le sqlmap. E sebelisa mekhoa le li-vector tse 'maloa tse fapaneng, ho kenyeletsoa ente ea bofofu, hape e na le mekhoa ea ho etsa khoutu le ho kenya / ho kenya lifaele tse sa sebetseng. Ho phaella moo, o na le mekhoa ea hae ea li-arsenal bakeng sa lienjineri tse fapaneng tsa template le mekhoa e meng ea ho batla liente tsa khoutu ea eval ()-joaloka Python, Ruby, PHP, JavaScript. Haeba e atlehile, e bula console e sebetsang.
Melemo:
- Palo e kholo ea mekhoa le li-vector tse fapaneng;
- E tšehetsa lienjineri tse ngata tsa ho fana ka li-template;
- Mekhoa e mengata ea ho sebetsa.
CeWL
- jenereithara ea dikishinari ho Ruby, e etselitsoeng ho ntša mantsoe a ikhethang webosaeteng e boletsoeng, e latela likhokahano tsa sebaka sa marang-rang ho isa botebong bo boletsoeng. Bukantswe e bokelletsweng ya mantswe a ikgethang e ka sebediswa hamorao ho hatella diphasewete ditshebeletsong kapa difaeleng le dikhokahanyo tsa brute webosaeteng e le 'ngoe, kapa ho hlasela li-hashe tse hlahisoang ka hashcat kapa John the Ripper. E na le thuso ha o etsa lethathamo la "sepheo" sa li-password tse ka bang teng.
Melemo:
- Ho bonolo ho e sebelisa.
Chelete:
- U hloka ho ba hlokolosi ka botebo ba ho batla e le hore u se ke ua nka sebaka se eketsehileng.
E fokolang
- ts'ebeletso e nang le lidikishinari tse ngata tse nang le li-password tse ikhethang. E bohlokoa haholo mesebetsing e fapaneng e amanang le ho qhekella ha li-password, ho tloha ho matla a bonolo a marang-rang a li-account mabapi le lits'ebeletso tse shebiloeng, ho isa ho matla a sehlōhō a li-hashes tse amoheloang a sebelisa. kapa . E na le li-password tse ka bang limilione tse likete tse 8 ho tloha ho litlhaku tse 4 ho isa ho tse 25 ka bolelele.
Melemo:
- E na le lidikishinari le lidikishinari tse ikhethileng tse nang le li-password tse atileng haholo - u ka khetha bukantswe e itseng bakeng sa ditlhoko tsa hao;
- Lidikishinari lia nchafatsoa le ho tlatsoa ka li-password tse ncha;
- Lidikishinari li hlophisoa ka katleho. U ka khetha khetho bakeng sa matla a brute a marang-rang a potlakileng le khetho e qaqileng ea li-password ho tsoa bukeng ea mantsoe e matla e nang le lintlha tsa morao-rao tse lutlang;
- Ho na le sebali se bonts'ang nako eo u e nkang ho senya li-password ho lisebelisoa tsa hau.
Re kopa ho kenyelletsa lisebelisoa tsa licheke tsa CMS sehlopheng se arohaneng: WPScan, JoomScan le AEM hacker.
AEM_hacker
ke sesebelisoa sa ho hloaea bofokoli lits'ebetsong tsa Adobe Experience Manager (AEM).
Melemo:
- E ka tsebahatsa likopo tsa AEM ho tsoa lethathamong la li-URL tse rometsoeng ho eona;
- E na le mangolo a ho fumana RCE ka ho kenya khetla ea JSP kapa ho sebelisa SSRF hampe.
JoomScan
- Sesebelisoa sa Perl bakeng sa ho tsebahatsa bofokoli ha u sebelisa Joomla CMS.
Melemo:
- E khona ho fumana liphoso tsa tlhophiso le mathata ka litlhophiso tsa tsamaiso;
- E thathamisa liphetolelo tsa Joomla le bofokoli bo amanang le tsona, ka mokhoa o tšoanang bakeng sa likarolo tsa motho ka mong;
- E na le mesebetsi e fetang 1000 bakeng sa likarolo tsa Joomla;
- Sephetho sa litlaleho tsa ho qetela ka mokhoa oa mongolo le oa HTML.
WPScan
- sesebelisoa sa ho hlahloba libaka tsa WordPress, e na le bofokoli sebakeng sa eona sa pokello ea lihlahisoa ka bobeli bakeng sa enjene ea WordPress ka boeona le bakeng sa li-plugins tse ling.
Melemo:
- E khona ho thathamisa eseng feela li-plugins le lihlooho tsa WordPress tse sa sireletsehang, empa hape le ho fumana lenane la basebelisi le lifaele tsa TimThumb;
- E ka etsa litlhaselo tse matla libakeng tsa WordPress.
Chelete:
- Ntle le litlhophiso tse nepahetseng, e etsa sete e sa phethahalang ea licheke, tse ka khelosang.
Ka kakaretso, batho ba fapaneng ba khetha lisebelisoa tse fapaneng tsa mosebetsi: kaofela li ntle ka tsela ea bona, 'me seo motho a le mong a se ratang se ka' na sa se ke sa lumellana le e mong ho hang. Haeba u nahana hore ka leeme re hlokomolohile thuso e itseng e ntle, ngola ka eona litlhalosong!
Source: www.habr.com