ngobrol ngeunaan parabot mangpaat pikeun pentesters. Dina tulisan anyar urang bakal ningali alat pikeun nganalisis kaamanan aplikasi wéb.
batur sapagawean urang Abdi parantos ngalakukeun sapertos kieu kira-kira tujuh taun katukang. Éta pikaresepeun pikeun ningali alat mana anu nahan sareng nguatkeun posisina, sareng anu mana anu luntur kana latar tukang sareng ayeuna jarang dianggo.
Catet yén ieu ogé kalebet Burp Suite, tapi bakal aya publikasi anu misah ngeunaan éta sareng plugins anu mangpaat.
eusi:
Amassa
- alat Go pikeun milarian sareng ngitung subdomain DNS sareng pemetaan jaringan éksternal. Amass mangrupikeun proyék OWASP anu dirarancang pikeun nunjukkeun kumaha rupa organisasi dina Internét ka urang luar. Amass kéngingkeun nami subdomain ku sababaraha cara; alat éta ngagunakeun enumerasi rekursif subdomain sareng milarian sumber terbuka.
Pikeun manggihan bagéan jaringan interconnected jeung nomer sistem otonom, Amass ngagunakeun alamat IP diala salila operasi. Sadaya inpormasi anu kapendak dianggo pikeun ngawangun peta jaringan.
pro:
- Téhnik ngumpulkeun informasi ngawengku:
* DNS - milarian kamus subdomain, subdomain bruteforce, milarian pinter nganggo mutasi dumasar kana subdomain anu kapendak, ngabalikeun pamundut DNS sareng milarian server DNS dimana anjeun tiasa ngadamel pamundut transfer zona (AXFR);* Pilarian sumber terbuka - Tanya, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Milarian pangkalan data sertipikat TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Nganggo API mesin pencari - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Milarian arsip wéb Internét: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Integrasi jeung Maltego;
- Nyadiakeun liputan anu paling lengkep pikeun tugas milarian subdomain DNS.
kontra:
- Ati-ati sareng amass.netdomains - éta bakal nyobian ngahubungi unggal alamat IP dina infrastruktur anu diidentifikasi sareng kéngingkeun nami domain tina pamariksaan DNS sabalikna sareng sertipikat TLS. Ieu mangrupikeun téknik "profil tinggi", éta tiasa ngungkabkeun kagiatan intelijen anjeun dina organisasi anu ditalungtik.
- konsumsi memori tinggi, bisa meakeun nepi ka 2 GB RAM dina setélan béda, nu moal ngidinan Anjeun pikeun ngajalankeun alat ieu dina awan dina VDS mirah.
Altdns
- alat Python pikeun nyusun kamus pikeun ngitung subdomain DNS. Ngidinan anjeun ngahasilkeun seueur varian subdomain nganggo mutasi sareng permutasi. Keur kitu, kecap anu mindeng kapanggih dina subdomains dipaké (contona: test, dev, pementasan), sagala mutations na permutations dilarapkeun ka subdomains geus dipikawanoh, nu bisa dikintunkeun ka input Altdns. Kaluaran mangrupikeun daptar variasi subdomain anu tiasa aya, sareng daptar ieu engké tiasa dianggo pikeun kakuatan brute DNS.
pro:
- Gawéna ogé kalawan susunan data badag.
aquatone
- sateuacana langkung dikenal salaku alat anu sanés pikeun milarian subdomain, tapi panulis nyalira ngantunkeun ieu pikeun milih Amass anu kasebat. Ayeuna aquatone parantos ditulis deui dina Go sareng langkung diarahkeun kana pangintipan awal dina situs wéb. Jang ngalampahkeun ieu, aquatone ngaliwat domain anu ditangtukeun sareng milarian situs wéb dina palabuhan anu béda, saatos éta ngumpulkeun sadaya inpormasi ngeunaan situs sareng nyandak layar. Cocog pikeun pangintipan awal gancang halaman wéb, saatos anjeun tiasa milih target prioritas pikeun serangan.
pro:
- Kaluaran nyiptakeun grup file sareng polder anu gampang dianggo nalika damel sareng alat anu sanés:
* Laporan HTML sareng screenshot dikumpulkeun sareng judul réspon dikelompokkeun dumasar kana kasaruaan;* File sareng sadaya URL dimana situs wéb kapanggih;
* File sareng statistik sareng data halaman;
* Polder sareng file anu ngandung header réspon tina target anu kapendak;
* Polder sareng file anu ngandung awak réspon tina target anu kapendak;
* Potret layar situs wéb anu kapendak;
- Ngarojong gawé bareng laporan XML ti Nmap jeung Masscan;
- Anggo Chrome/Chromium tanpa sirah pikeun ngadamel potret layar.
kontra:
- Éta tiasa narik perhatian sistem deteksi intrusion, janten peryogi konfigurasi.
Potret layar dicandak pikeun salah sahiji versi aquatone (v0.5.0) anu lami, dimana milarian subdomain DNS dilaksanakeun. Vérsi heubeul bisa kapanggih dina .
MassDNS
mangrupa alat sejen pikeun manggihan subdomains DNS. Beda utami nyaéta ngajadikeun patarosan DNS langsung ka seueur résolusi DNS anu béda sareng ngalakukeunana dina kecepatan anu lumayan.
pro:
- Gancang - sanggup ngabéréskeun langkung ti 350 rébu nami per detik.
kontra:
- MassDNS tiasa nyababkeun beban anu signifikan dina résolusi DNS anu dianggo, anu tiasa nyababkeun larangan dina server atanapi keluhan ka ISP anjeun. Salaku tambahan, éta bakal nempatkeun beban anu ageung dina server DNS perusahaan, upami aranjeunna gaduh sareng upami aranjeunna tanggung jawab kana domain anu anjeun badé ngabéréskeun.
- Daptar résolusi ayeuna parantos lami, tapi upami anjeun milih résolusi DNS anu rusak sareng nambihan anu énggal-énggal, sadayana bakal saé.
Potret layar aquatone v0.5.0
nsec3map
mangrupakeun alat Python pikeun meunangkeun daptar lengkep domain DNSSEC-ditangtayungan.
pro:
- Gancang manggihan host dina zona DNS kalawan jumlah minimum queries lamun rojongan DNSSEC diaktipkeun dina zone nu;
- Ngawengku plugin pikeun John the Ripper nu bisa dipaké pikeun rengat hashes NSEC3 hasilna.
kontra:
- Loba kasalahan DNS teu diatur leres;
- Henteu aya paralélisasi otomatis ngolah rékaman NSEC - anjeun kedah ngabagi rohangan ngaran sacara manual;
- Konsumsi mémori anu luhur.
Acunetix
— scanner kerentanan wéb anu ngajadikeun otomatis prosés mariksa kaamanan aplikasi wéb. Nguji aplikasi pikeun suntikan SQL, XSS, XXE, SSRF sareng seueur kerentanan wéb anu sanés. Nanging, sapertos scanner anu sanés, rupa-rupa kerentanan wéb henteu ngagentos pentester, sabab éta henteu tiasa mendakan ranté kompleks kerentanan atanapi kerentanan dina logika. Tapi éta nyertakeun seueur kerentanan anu béda-béda, kalebet rupa-rupa CVEs, anu tiasa dipohokeun ku pentester, janten gampang pisan pikeun ngabebaskeun anjeun tina pamariksaan rutin.
pro:
- tingkat low tina positip palsu;
- Hasilna tiasa diékspor salaku laporan;
- Ngalaksanakeun sajumlah ageung cek pikeun sagala rupa kerentanan;
- Scanning paralel tina sababaraha host.
kontra:
- Henteu aya algoritma deduplication (Acunetix bakal nganggap halaman anu idéntik dina pungsionalitasna béda-béda, sabab nuju ka URL anu béda), tapi pamekar damel di dinya;
- Merlukeun instalasi dina web server misah, nu complicates nguji sistem klien kalawan sambungan VPN tur ngagunakeun scanner dina bagean terasing tina jaringan klien lokal;
- Ladenan anu ditalungtik tiasa ngadamel bising, contona, ku ngirim seueur teuing vektor serangan ka bentuk kontak dina situs, sahingga nyusahkeun prosés bisnis;
- Éta mangrupikeun proprietary sareng, sasuai, sanés solusi gratis.
Dirsearch
- alat Python pikeun diréktori sareng file anu maksakeun dina situs wéb.
pro:
- Bisa ngabedakeun nyata "200 OK" kaca ti "200 OK" kaca, tapi kalawan téks "kaca teu kapanggih";
- Hadir sareng kamus gunana anu ngagaduhan kasaimbangan anu saé antara ukuran sareng efisiensi milarian. Ngandung jalur standar anu umum pikeun seueur tumpukan CMS sareng téknologi;
- format kamus sorangan, nu ngidinan Anjeun pikeun ngahontal efisiensi alus sarta kalenturan dina enumerating file na directories;
- Output merenah - téks polos, JSON;
- Éta tiasa ngalakukeun throttling - jeda antara pamundut, anu penting pikeun jasa anu lemah.
kontra:
- Ekstensi kedah disalurkeun salaku senar, anu henteu pikaresepeun upami anjeun kedah ngalangkungan seueur ekstensi sakaligus;
- Dina raraga ngagunakeun kamus anjeun, éta bakal perlu rada dirobah kana format kamus Dirsearch pikeun efisiensi maksimum.
wfuzz
- Aplikasi wéb Python fuzzer. Meureun salah sahiji nu kawentar web phasers. Prinsipna basajan: wfuzz ngidinan Anjeun pikeun fase mana wae dina pamundut HTTP, nu ngamungkinkeun pikeun fase GET / POST parameter, headers HTTP, kaasup Cookie jeung lulugu auténtikasi lianna. Dina waktos anu sami, éta ogé cocog pikeun gaya BRUTE saderhana diréktori sareng file, dimana anjeun peryogi kamus anu saé. Éta ogé ngagaduhan sistem saringan anu fleksibel, dimana anjeun tiasa nyaring réspon tina situs wéb dumasar kana parameter anu béda, anu ngamungkinkeun anjeun ngahontal hasil anu épéktip.
pro:
- Multifunctional - struktur modular, assembly nyokot sababaraha menit;
- Mékanisme nyaring sareng fuzzing anu merenah;
- Anjeun tiasa fase sagala métode HTTP, kitu ogé sagala tempat dina pamundut HTTP.
kontra:
- Dina pangwangunan.
ffuf
- fuzzer wéb di Go, didamel dina "gambar sareng sasaruaan" wfuzz, ngamungkinkeun anjeun ngarobih file, diréktori, jalur URL, nami sareng nilai parameter GET / POST, header HTTP, kalebet header Host pikeun gaya kasar. tina host virtual. wfuzz béda ti lanceukna dina laju anu langkung luhur sareng sababaraha fitur énggal, contona, éta ngadukung kamus format Dirsearch.
pro:
- Saringan sami sareng saringan wfuzz, aranjeunna ngamungkinkeun anjeun sacara fleksibel ngonpigurasikeun gaya kasar;
- Ngidinan anjeun pikeun fuzz nilai header HTTP, data pamundut POST sareng sababaraha bagian tina URL, kalebet nami sareng nilai parameter GET;
- Anjeun tiasa netepkeun naon waé metode HTTP.
kontra:
- Dina pangwangunan.
tukang goblog
- alat Go pikeun pangintipan, boga dua modus operasi. Kahiji dipaké pikeun brute force file na directories on ramatloka a, kadua dipaké pikeun brute force DNS subdomains. Alatna mimitina henteu ngadukung enumerasi rekursif file sareng diréktori, anu, tangtosna, ngahémat waktos, tapi di sisi anu sanés, kakuatan kasar unggal titik akhir anyar dina halaman wéb kedah diluncurkeun nyalira.
pro:
- Laju operasi anu luhur pikeun milarian brute force subdomains DNS sareng pikeun brute force file sareng diréktori.
kontra:
- Versi ayeuna teu ngarojong setelan HTTP headers;
- Sacara standar, ngan sababaraha kode status HTTP (200,204,301,302,307) anu dianggap sah.
Arjun
- alat pikeun kakuatan kasar tina parameter HTTP disumputkeun dina parameter GET / POST, kitu ogé dina JSON. Kamus anu diwangun ku 25 kecap, anu dipariksa ku Ajrun ampir 980 detik. Trikna nyaéta Ajrun henteu mariksa unggal parameter sacara misah, tapi pariksa ~ 30 parameter sakaligus sareng ningali upami jawabanna parantos robih. Lamun jawaban geus robah, ngabagi ieu 1000 parameter jadi dua bagian jeung mariksa nu bagian ieu mangaruhan jawaban. Ku kituna, ngagunakeun pilarian binér basajan, hiji parameter atawa sababaraha parameter disumputkeun kapanggih yén dipangaruhan jawaban na, ku kituna, mungkin aya.
pro:
- Laju tinggi alatan pilarian binér;
- Rojongan pikeun parameter GET / POST, kitu ogé parameter dina bentuk JSON;
Plugin pikeun Burp Suite berpungsi dina prinsip anu sami - , nu ogé pohara alus dina manggihan parameter HTTP disumputkeun. Kami bakal nyarios langkung seueur ngeunaan éta dina tulisan anu bakal datang ngeunaan Burp sareng plugins na.
LinkFinder
— skrip Python pikeun milarian tautan dina file JavaScript. Mangpaat pikeun manggihan titik tungtung/URL disumputkeun atawa poho dina aplikasi wéb.
pro:
- Gancang;
- Aya plugin husus pikeun Chrome dumasar kana LinkFinder.
.
kontra:
- Kacindekan ahir teu merenah;
- Teu nganalisis JavaScript kana waktu;
- Logika anu saderhana pikeun milarian tautan - upami JavaScript kumaha waé kabur, atanapi tautanna mimitina leungit sareng dibangkitkeun sacara dinamis, maka éta moal tiasa mendakan nanaon.
JSParser
mangrupa Aksara Python anu ngagunakeun и pikeun parse URL relatif ti file JavaScript. Mangpaat pisan pikeun ngadeteksi pamundut AJAX sareng nyusun daptar metode API anu berinteraksi sareng aplikasi. Gawéna éféktif ditéang jeung LinkFinder.
pro:
- Parsing gancang tina file JavaScript.
sqlmap
meureun salah sahiji alat nu kawentar pikeun nganalisis aplikasi wéb. Sqlmap ngajadikeun otomatis pilarian sarta operasi injections SQL, jalan kalawan sababaraha dialek SQL, sarta ngabogaan sajumlah badag téhnik béda dina arsenal na, mimitian ti tanda petik langsung nepi ka vektor kompléks pikeun suntik SQL dumasar-waktu. Sajaba ti éta, boga loba téhnik pikeun eksploitasi salajengna pikeun sagala rupa DBMSs, jadi mangpaat henteu ngan salaku scanner pikeun injections SQL, tapi ogé salaku alat kuat pikeun exploiting geus kapanggih injections SQL.
pro:
- Sajumlah ageung téknik sareng vektor anu béda;
- Jumlah low tina positip palsu;
- Loba pilihan fine-tuning, rupa téhnik, target database, tamper Aksara pikeun bypassing WAF;
- Kamampuhan pikeun nyieun dump kaluaran;
- Seueur kamampuan operasional anu béda, contona, pikeun sababaraha pangkalan data - ngamuat / ngabongkar file otomatis, kéngingkeun kamampuan ngalaksanakeun paréntah (RCE) sareng anu sanésna;
- Rojongan pikeun sambungan langsung ka database ngagunakeun data diala salila serangan;
- Anjeun tiasa ngalebetkeun file téks sareng hasil Burp salaku input - henteu kedah sacara manual nyusun sadaya atribut garis paréntah.
kontra:
- Hese ngaropea, contona, nulis sababaraha cék sorangan alatan dokuméntasi langka pikeun ieu;
- Tanpa setélan anu luyu, éta ngalaksanakeun sét pamariksaan anu teu lengkep, anu tiasa nyasabkeun.
NoSQLMap
- alat Python pikeun ngajadikeun otomatis milarian sareng eksploitasi suntikan NoSQL. Gampang dianggo henteu ngan ukur dina pangkalan data NoSQL, tapi ogé langsung nalika ngaudit aplikasi wéb anu nganggo NoSQL.
pro:
- Sapertos sqlmap, éta henteu ngan ukur mendakan kerentanan poténsial, tapi ogé pariksa kamungkinan eksploitasi pikeun MongoDB sareng CouchDB.
kontra:
- Henteu ngadukung NoSQL pikeun Redis, Cassandra, pamekaran nuju ka arah ieu.
oxml_xxe
- alat pikeun nambihkeun garapan XXE XML kana sababaraha jinis file anu nganggo format XML dina sababaraha bentuk.
pro:
- Ngarojong seueur format umum sapertos DOCX, ODT, SVG, XML.
kontra:
- Rojongan pikeun PDF, JPEG, GIF henteu dilaksanakeun sapinuhna;
- Nyiptakeun ngan hiji file. Pikeun ngajawab masalah ieu anjeun tiasa nganggo alat , anu tiasa nyiptakeun sajumlah ageung payload file di tempat anu béda.
Utiliti di luhur ngalakukeun padamelan anu saé pikeun nguji XXE nalika ngamuat dokumén anu ngandung XML. Tapi ogé émut yén pawang format XML tiasa dipendakan dina seueur kasus sanés, contona, XML tiasa dianggo salaku format data tibatan JSON.
Ku alatan éta, kami nyarankeun yén anjeun nengetan gudang di handap ieu, nu ngandung sajumlah badag payloads béda: .
tplmap
- alat Python pikeun otomatis ngaidentipikasi sareng ngeksploitasi kerentanan Injeksi Template Sisi Server; éta gaduh setélan sareng umbul anu sami sareng sqlmap. Ngagunakeun sababaraha téknik sareng vektor anu béda, kalebet suntikan buta, sareng ogé gaduh téknik pikeun ngalaksanakeun kode sareng ngamuat / unggah file sawenang. Sajaba ti éta, anjeunna boga di téhnik arsenal na pikeun belasan mesin template béda jeung sababaraha téhnik pikeun néangan keur eval () -kawas kode injections di Python, Ruby, PHP, JavaScript. Upami suksés, éta muka konsol interaktif.
pro:
- Sajumlah ageung téknik sareng vektor anu béda;
- Ngarojong loba mesin rendering template;
- Seueur téknik operasi.
CeWL
- generator kamus di Ruby, dijieun pikeun nimba kecap unik tina ramatloka husus, nuturkeun tumbu dina situs ka jero husus. Kamus kecap-kecap unik anu dikompilasi engké tiasa dianggo pikeun ngosongkeun kecap konci gaya kasar dina jasa atanapi file gaya kasar sareng diréktori dina situs wéb anu sami, atanapi pikeun nyerang hashes anu hasilna nganggo hashcat atanapi John the Ripper. Mangpaat nalika nyusun daptar "target" ngeunaan kecap konci poténsial.
pro:
- Gampang dianggo.
kontra:
- Anjeun kedah ati-ati sareng jerona milarian supados henteu nyandak domain tambahan.
Weakpass
- jasa anu ngandung seueur kamus sareng kecap konci anu unik. Kacida mangpaatna pikeun sagala rupa pancén nu patali jeung cracking sandi, mimitian ti gaya kasar online basajan tina akun on jasa target, nepi ka off-line kakuatan kasar tina hashes narima ngagunakeun. atawa . Ieu ngandung ngeunaan 8 miliar kecap akses mimitian ti 4 nepi ka 25 karakter panjangna.
pro:
- Ngandung kamus sareng kamus khusus sareng kecap konci anu paling umum - anjeun tiasa milih kamus khusus pikeun kabutuhan anjeun;
- Kamus diropéa sareng dieusi deui ku kecap akses anyar;
- Kamus diurutkeun dumasar efisiensi. Anjeun tiasa milih pilihan pikeun gaya brute online gancang sareng pilihan kecap akses detil tina kamus anu ageung sareng bocor panganyarna;
- Aya kalkulator nu nembongkeun waktu nu diperlukeun pikeun brute sandi dina alat Anjeun.
Kami hoyong ngalebetkeun alat pikeun cék CMS dina grup anu misah: WPScan, JoomScan sareng peretas AEM.
AEM_hacker
nyaéta alat pikeun ngaidentipikasi kerentanan dina aplikasi Adobe Experience Manager (AEM).
pro:
- Bisa ngaidentipikasi aplikasi AEM tina daptar URL anu dikirimkeun kana inputna;
- Ngandung naskah pikeun meunangkeun RCE ku ngamuat cangkang JSP atawa ngamangpaatkeun SSRF.
JoomScan
- alat Perl pikeun ngajadikeun otomatis deteksi kerentanan nalika nyebarkeun Joomla CMS.
pro:
- Bisa manggihan flaws konfigurasi sarta masalah sareng setelan administrasi;
- Daptar vérsi Joomla sareng kerentanan anu aya hubunganana, sami pikeun komponén individu;
- Ngandung langkung ti 1000 eksploitasi pikeun komponén Joomla;
- Kaluaran laporan ahir dina téks sareng format HTML.
WPScan
- alat pikeun nyeken situs WordPress, éta ngagaduhan kerentanan dina arsenal na pikeun mesin WordPress sorangan sareng pikeun sababaraha plugins.
pro:
- Sanggup daptar henteu ngan ukur plugins sareng téma WordPress anu teu aman, tapi ogé kéngingkeun daptar pangguna sareng file TimThumb;
- Bisa ngalakukeun serangan brute force dina situs WordPress.
kontra:
- Tanpa setélan anu luyu, éta ngalaksanakeun sét pamariksaan anu teu lengkep, anu tiasa nyasabkeun.
Sacara umum, jalma anu béda resep kana alat anu béda pikeun digawé: aranjeunna sadayana saé dina cara sorangan, sareng anu dipikaresep ku hiji jalma tiasa henteu cocog sareng anu sanés. Lamun Anjeun mikir yén kami geus unfairly dipaliré sababaraha utiliti alus, nulis ngeunaan eta dina komentar!
sumber: www.habr.com