För ett tag sedan skrev jag om , men lite magert och kaotiskt. EfterÄt bestÀmde jag mig för att utöka listan över verktyg i recensionen, lÀgga till struktur i artikeln och ta hÀnsyn till kritik (stort tack för rÄd) och skickade den till en tÀvling pÄ SecLab (och publicerades , men av alla uppenbara skÀl sÄg ingen henne). TÀvlingen Àr avslutad, resultaten Àr tillkÀnnagivna och med gott samvete kan jag publicera den (artikeln) pÄ Habré.
Gratis webbapplikation Pentester Tools
I den hÀr artikeln kommer jag att prata om de mest populÀra verktygen för penetrering (penetrationstester) av webbapplikationer med strategin "svarta lÄdan".
För att göra detta kommer vi att titta pÄ verktyg som hjÀlper till med denna typ av testning. TÀnk pÄ följande produktkategorier:
- NĂ€tverksskannrar
- Skanner för webbskriptbrott
- Utnyttjande
- Automatisering av injektioner
- Debuggers (sniffers, lokala proxyservrar, etc.)
Vissa produkter har en universell "karaktĂ€r", sĂ„ jag kommer att klassificera dem i den kategori dĂ€r de har enĐŸbĂ€ttre resultat (subjektiv Ă„sikt).
NĂ€tverksskannrar.
Huvuduppgiften Àr att upptÀcka tillgÀngliga nÀtverkstjÀnster, installera deras versioner, bestÀmma OS, etc.
Nmap
Àr ett gratis och öppen kÀllkodsverktyg för nÀtverksanalys och systemsÀkerhetsrevision. VÄldsamma motstÄndare till konsolen kan anvÀnda Zenmap, som Àr ett GUI för Nmap.
Detta Àr inte bara en "smart" skanner, det Àr ett seriöst utbyggbart verktyg (en av de "ovanliga funktionerna" Àr nÀrvaron av ett skript för att kontrollera en nod för nÀrvaron av en mask "" (nÀmns ). Typiskt anvÀndningsexempel:
nmap -A -T4 localhost
-A för upptÀckt av OS-version, skriptskanning och spÄrning
-T4 tidskontrollinstÀllning (mer Àr snabbare, frÄn 0 till 5)
localhost - mÄlvÀrd
NĂ„got tuffare?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Detta Àr en uppsÀttning alternativ frÄn profilen "slow comprehensive scan" i Zenmap. Det tar ganska lÄng tid att slutföra, men ger i slutÀndan mer detaljerad information som kan hittas om mÄlsystemet. , om du bestÀmmer dig för att gÄ djupare rekommenderar jag ocksÄ att översÀtta artikeln .
Nmap har tilldelats statusen âĂ
rets sĂ€kerhetsproduktâ av tidskrifter och föreningar som Linux Tidskrift, InformationsvĂ€rld, LinuxQuestions.Org och Codetalker Digest.
En intressant punkt, Nmap kan ses i filmerna "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" och .
IP-Tools
- en sorts uppsÀttning olika nÀtverksverktyg, kommer med ett GUI, "dedikerat" till Windows-anvÀndare.
Portskanner, delade resurser (delade skrivare/mappar), WhoIs/Finger/Lookup, telnet-klient och mycket mer. Bara ett bekvÀmt, snabbt och funktionellt verktyg.
Det finns ingen speciell mening med att övervĂ€ga andra produkter, eftersom det finns mĂ„nga verktyg inom detta omrĂ„de och de har alla liknande funktionsprinciper och funktionalitet. ĂndĂ„ Ă€r nmap fortfarande den mest anvĂ€nda.
Skanner för webbskriptbrott
Försöker hitta populÀra sÄrbarheter (SQL inj, XSS, LFI/RFI, etc.) eller fel (inte borttagna temporÀra filer, katalogindexering, etc.)
Acunetix Web Vulnerability Scanner
â frĂ„n lĂ€nken kan du se att detta Ă€r en xss-skanner, men det Ă€r inte helt sant. Gratisversionen, tillgĂ€nglig hĂ€r, ger en hel del funktioner. Vanligtvis upplever personen som kör den hĂ€r skannern för första gĂ„ngen och fĂ„r en rapport om sin resurs för första gĂ„ngen en lĂ€tt chock, och du kommer att förstĂ„ varför nĂ€r du vĂ€l gör detta. Detta Ă€r en mycket kraftfull produkt för att analysera alla typer av sĂ„rbarheter pĂ„ en webbplats och fungerar inte bara med de vanliga PHP-webbplatserna utan Ă€ven pĂ„ andra sprĂ„k (Ă€ven om skillnaden i sprĂ„k inte Ă€r en indikator). Det finns ingen speciell mening med att beskriva instruktionerna, eftersom skannern helt enkelt "fĂ„ngar upp" anvĂ€ndarens handlingar. NĂ„got som liknar "nĂ€sta, nĂ€sta, nĂ€sta, redo" i en typisk programvaruinstallation.
Nikto
Detta Àr en sökrobot med öppen kÀllkod (GPL). Eliminerar rutinmÀssigt manuellt arbete. Söker pÄ mÄlsidan efter ÄterstÀllda skript (vissa test.php, index_.php, etc.), databasadministrationsverktyg (/phpmyadmin/, /pma och liknande), etc., det vill sÀga kontrollerar resursen för de vanligaste felen orsakas vanligtvis av mÀnskliga faktorer.
Dessutom, om den hittar nÄgot populÀrt skript, kontrollerar det det för slÀppta exploits (som finns i databasen).
Rapporterar tillgÀngliga "oönskade" metoder som PUT och TRACE
Och sÄ vidare. Det Àr vÀldigt bekvÀmt om du arbetar som revisor och analyserar webbplatser varje dag.
Av minusen skulle jag vilja notera den höga andelen falska positiva. Till exempel, om din webbplats alltid ger huvudfelet istÀllet för ett 404-fel (nÀr det skulle intrÀffa), kommer skannern att sÀga att din webbplats innehÄller alla skript och alla sÄrbarheter frÄn dess databas. I praktiken hÀnder detta inte sÄ ofta, men i sjÀlva verket beror mycket pÄ strukturen pÄ din webbplats.
Klassisk anvÀndning:
./nikto.pl -host localhost
Om du behöver vara auktoriserad pÄ webbplatsen kan du stÀlla in en cookie i filen nikto.conf, variabeln STATIC-COOKIE.
Wikto
- Nikto under Windows, men med vissa tillÀgg, sÄsom fuzzy logic för felkontroll, GHDB-anvÀndning, hÀmtning av resurslÀnkar och mappar, och realtidsövervakning av HTTP-förfrÄgningar/svar. Wikto Àr skrivet i C# och krÀver .NET framework.
skipfish
- webbsÄrbarhetsskanner frÄn (kÀnd som lcamtuf). Skrivet i C, plattformsoberoende (Win krÀver Cygwin). Rekursivt (och under en mycket lÄng tid, cirka 20~40 timmar, Àven om senast det fungerade för mig var 96 timmar) genomsöker den hela webbplatsen och hittar alla möjliga sÀkerhetshÄl. Det genererar ocksÄ mycket trafik (flera GB inkommande/utgÄende). Men alla medel Àr bra, speciellt om man har tid och resurser.
Vanlig anvÀndning:
./skipfish -o /home/reports www.example.com
I mappen "rapporter" kommer det att finnas en rapport i html, .
w3af 
â Web Application Attack and Audit Framework, webblĂ€sare med öppen kĂ€llkod. Den har ett GUI, men du kan arbeta frĂ„n konsolen. Mer exakt Ă€r det ett ramverk med .
Jag skulle kunna prata i evighet om dess fördelar, men det Àr bÀttre att prova det sjÀlv :]
Typiskt arbete med det handlar om att vÀlja en profil, ange ett mÄl och faktiskt lansera den.
Mantra Security Framework
Àr en dröm som gick i uppfyllelse. En samling gratis och öppna informationssÀkerhetsverktyg inbyggda i en webblÀsare.
Mycket anvÀndbart nÀr du testar webbapplikationer i alla skeden.
AnvÀndningen handlar om att installera och starta webblÀsaren.
Faktum Àr att det finns mÄnga verktyg i denna kategori och det Àr ganska svÄrt att vÀlja en specifik lista frÄn dem. Oftast bestÀmmer varje pentester sjÀlv vilken uppsÀttning verktyg han behöver.
Utnyttjande
För automatiserat och bekvÀmare utnyttjande av sÄrbarheter skrivs exploateringar i mjukvara och skript, som bara behöver skickas parametrar för att kunna utnyttja sÀkerhetshÄlet. Och det finns produkter som eliminerar behovet av att manuellt söka efter bedrifter och till och med anvÀnda dem i farten. Denna kategori kommer nu att diskuteras.
Metasploit Framework 
â ett slags monster i vĂ„r verksamhet. Han kan göra sĂ„ mycket att instruktionerna kommer att tĂ€cka flera artiklar. Vi kommer att titta pĂ„ automatisk exploatering (nmap + metasploit). Summan av kardemumman Ă€r denna: Nmap kommer att analysera porten vi behöver, installera tjĂ€nsten och metasploit kommer att försöka tillĂ€mpa exploateringar pĂ„ den baserat pĂ„ tjĂ€nsteklassen (ftp, ssh, etc.). IstĂ€llet för textinstruktioner kommer jag att infoga en video, ganska populĂ€r pĂ„ Ă€mnet autopwn
Eller sÄ kan vi helt enkelt automatisera driften av den exploatering vi behöver. T.ex:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Faktum Àr att kapaciteten i detta ramverk Àr mycket omfattande, sÄ om du bestÀmmer dig för att gÄ djupare, gÄ till
Armitage
â OVA av cyberpunkgenren GUI för Metasploit. Visualiserar mĂ„let, rekommenderar exploateringar och tillhandahĂ„ller avancerade funktioner i ramverket. I allmĂ€nhet, för dem som gillar att allt ser vackert och imponerande ut.
Screencast:
HÄllbara NessusŸ
- kan göra mÄnga saker, men en av de möjligheter vi behöver frÄn det Àr att avgöra vilka tjÀnster som har utnyttjande. Gratisversion av produkten "endast hemma"
ĐŃĐżĐŸĐ»ŃĐ·ĐŸĐČĐ°ĐœĐžĐ”:
- Nedladdat (för ditt system), installerat, registrerat (nyckeln skickas till din e-post).
- Startade servern, la till anvÀndaren i Nessus Server Manager (knappen Hantera anvÀndare)
- Vi gÄr till adressen
https://localhost:8834/
och hÀmta flash-klienten i webblÀsaren
- Skanningar -> LÀgg till -> fyll i fÀlten (genom att vÀlja den skanningsprofil som passar oss) och klicka pÄ Skanna
Efter en tid visas skanningsrapporten pÄ fliken Rapporter
För att kontrollera den praktiska sÄrbarheten hos tjÀnster för utnyttjande kan du anvÀnda Metasploit Framework som beskrivs ovan eller försöka hitta en exploatering (till exempel pÄ , , etc.) och anvÀnd den manuellt mot dess system
IMHO: för skrymmande. Jag tog honom som en av ledarna i den hÀr riktningen av mjukvaruindustrin.
Automatisering av injektioner
MÄnga av webbapparnas sek-skannrar söker efter injektioner, men de Àr fortfarande bara allmÀnna skannrar. Och det finns verktyg som specifikt handlar om att söka efter och utnyttja injektioner. Vi ska prata om dem nu.
sqlmap
â Verktyg med öppen kĂ€llkod för att söka och utnyttja SQL-injektioner. Stöder databasservrar som: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Typisk anvÀndning kokar ner till linjen:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Det finns tillrÀckligt med manualer, inklusive pÄ ryska. Mjukvaran underlÀttar avsevÀrt arbetet för en pentester nÀr han arbetar pÄ detta omrÄde.
Jag lÀgger till en officiell videodemonstration:
bsqlbf-v2
- ett perl-skript, en brute force för "blinda" SQL-injektioner. Det fungerar bÄde med heltalsvÀrden i url och med strÀngvÀrden.
Databas som stöds:
- MS-SQL
- MySQL
- PostgreSQL
- Oracle
Exempel pÄ anvÀndning:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url â LĂ€nk till parametrar
-blind u â parameter för injektion (som standard tas den sista frĂ„n adressfĂ€ltet)
-sql "vĂ€lj tabellnamn frĂ„n imformation_schema.tables limit 1 offset 0" â vĂ„r godtyckliga begĂ€ran till databasen
-databas 1 â databasserver: MSSQL
-typ 1 â typ av attack, "blind" injektion, baserat pĂ„ True and Error-svar (till exempel syntaxfel)
Debuggers
Dessa verktyg anvÀnds frÀmst av utvecklare nÀr de har problem med resultatet av att köra sin kod. Men den hÀr riktningen Àr ocksÄ anvÀndbar för pentesting, nÀr vi kan ersÀtta den data vi behöver i farten, analysera vad som kommer som svar pÄ vÄra ingÄngsparametrar (till exempel under fuzzing), etc.
Burp Suite
â en uppsĂ€ttning verktyg som hjĂ€lper till med penetrationstester. Det finns pĂ„ Internet pĂ„ ryska frĂ„n Raz0r (dock för 2008).
Gratisversionen inkluderar:
- Burp Proxy Àr en lokal proxy som lÄter dig Àndra redan genererade förfrÄgningar frÄn webblÀsaren
- Burp Spider - spindel, söker efter befintliga filer och kataloger
- Burp Repeater - skickar manuellt HTTP-förfrÄgningar
- Burp Sequencer - analyserar slumpmÀssiga vÀrden i formulÀr
- Burp Decoder Àr en standardkodare-avkodare (html, base64, hex, etc.), av vilken det finns tusentals, som snabbt kan skrivas pÄ vilket sprÄk som helst
- Burp Comparer - String Comparison Component
I princip löser detta paket nÀstan alla problem relaterade till detta omrÄde.
Fiddler
â Fiddler Ă€r en felsökningsproxy som loggar all HTTP(S)-trafik. LĂ„ter dig undersöka denna trafik, stĂ€lla in brytpunkter och "leka" med inkommande eller utgĂ„ende data.
Det finns ocksÄ , monster och andra, valet Àr upp till anvÀndaren.
Slutsats
Naturligtvis har varje pentester sin egen arsenal och sin egen uppsÀttning verktyg, eftersom det helt enkelt finns mÄnga av dem. Jag försökte lista nÄgra av de mest bekvÀma och populÀra. Men sÄ att vem som helst kan bekanta sig med andra verktyg i denna riktning, kommer jag att tillhandahÄlla lÀnkar nedan.
Olika toppar/listor över skannrar och verktyg
- .
Distributioner Linux, som redan inkluderar en mÀngd olika verktyg för penetrationstestning
upd: pÄ ryska frÄn "Hack4Sec"-teamet (tillagt )
PS Vi kan inte hÄlla tyst om XSpider. Deltar inte i recensionen, Àven om det Àr shareware (jag fick reda pÄ det nÀr jag skickade artikeln till SecLab, faktiskt pÄ grund av detta (inte kunskap, och avsaknad av senaste version 7.8) och tog inte med det i artikeln). Och i teorin planerades en översyn av det (jag har svÄra tester förberedda för det), men jag vet inte om vÀrlden kommer att se det.
PPS En del material frÄn artikeln kommer att anvÀndas för sitt avsedda syfte i en kommande rapport kl 2012 i QA-sektionen, som kommer att innehÄlla verktyg som inte nÀmns hÀr (gratis, naturligtvis), samt algoritmen, i vilken ordning man ska anvÀnda vad, vilket resultat man kan förvÀnta sig, vilka konfigurationer man ska anvÀnda och alla möjliga tips och tricks nÀr arbetar (jag tÀnker pÄ rapporten nÀstan varje dag, jag ska försöka berÀtta allt det bÀsta för dig om Àmnet)
Förresten, det fanns en lektion om den hĂ€r artikeln pĂ„ Ăppna InfoSec Days (, ), Kan rĂ„na kor ta en titt .
KĂ€lla: will.com
