zungumza kuhusu zana muhimu kwa wapenda pentesta. Katika makala mpya tutaangalia zana za kuchambua usalama wa programu za wavuti.
Mwenzetu Tayari nimefanya kitu kama hiki takriban miaka saba iliyopita. Inafurahisha kuona ni zana zipi zimehifadhi na kuimarisha nafasi zao, na ni zipi ambazo zimefifia nyuma na sasa hazitumiki sana.
Kumbuka kwamba hii pia inajumuisha Burp Suite, lakini kutakuwa na uchapishaji tofauti kuhusu hilo na programu-jalizi zake muhimu.
Yaliyomo:
kukusanya
- zana ya Go kwa ajili ya kutafuta na kuorodhesha vikoa vidogo vya DNS na kuchora mtandao wa nje. Amass ni mradi wa OWASP uliobuniwa kuonyesha jinsi mashirika kwenye Mtandao yanavyoonekana kwa watu wa nje. Amass hupata majina ya vikoa kwa njia mbalimbali; zana hutumia hesabu ya kujirudia ya vikoa vidogo na utafutaji wa chanzo huria.
Ili kugundua sehemu za mtandao zilizounganishwa na nambari za mfumo wa uhuru, Amass hutumia anwani za IP zilizopatikana wakati wa operesheni. Taarifa zote zilizopatikana hutumiwa kuunda ramani ya mtandao.
Faida:
- Mbinu za kukusanya habari ni pamoja na:
* DNS - utaftaji wa kamusi wa vikoa vidogo, vikoa vidogo vya bruteforce, utaftaji mahiri kwa kutumia mabadiliko kulingana na vikoa vidogo vilivyopatikana, geuza hoja za DNS na utafute seva za DNS ambapo inawezekana kutuma ombi la kuhamisha eneo (AXFR);* Utafutaji wa chanzo huria - Uliza, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Tafuta hifadhidata za cheti cha TLS - Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Kwa kutumia API za injini ya utafutaji - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Tafuta kumbukumbu za wavuti: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Kuunganishwa na Maltego;
- Hutoa chanjo kamili zaidi ya kazi ya kutafuta vikoa vidogo vya DNS.
Minus:
- Kuwa mwangalifu na amass.netdomains - itajaribu kuwasiliana na kila anwani ya IP katika miundombinu iliyotambuliwa na kupata majina ya vikoa kutoka kwa ukaguzi wa nyuma wa DNS na vyeti vya TLS. Hii ni mbinu ya "hali ya juu", inaweza kufichua shughuli zako za kijasusi katika shirika linalochunguzwa.
- Matumizi ya kumbukumbu ya juu, yanaweza kutumia hadi 2 GB ya RAM katika mipangilio tofauti, ambayo haitakuwezesha kuendesha chombo hiki katika wingu kwenye VDS ya bei nafuu.
Altdns
- Chombo cha Python cha kuunda kamusi za kuorodhesha vikoa vidogo vya DNS. Hukuruhusu kutoa lahaja nyingi za vikoa vidogo kwa kutumia mabadiliko na vibali. Kwa hili, maneno ambayo mara nyingi hupatikana katika vikoa vidogo hutumiwa (kwa mfano: test, dev, staging), mabadiliko yote na vibali vinatumika kwa vikoa vidogo vinavyojulikana, ambavyo vinaweza kuwasilishwa kwa pembejeo ya Altdns. Matokeo ni orodha ya tofauti za vikoa vidogo vinavyoweza kuwepo, na orodha hii inaweza kutumika baadaye kwa nguvu kali ya DNS.
Faida:
- Inafanya kazi vizuri na seti kubwa za data.
aquatone
- hapo awali ilijulikana zaidi kama zana nyingine ya kutafuta vikoa vidogo, lakini mwandishi mwenyewe aliacha hii kwa niaba ya Amass iliyotajwa hapo juu. Sasa aquatone imeandikwa upya katika Go na inalenga zaidi upelelezi wa awali kwenye tovuti. Ili kufanya hivyo, aquatone hupitia vikoa maalum na hutafuta tovuti kwenye bandari tofauti, baada ya hapo hukusanya taarifa zote kuhusu tovuti na kuchukua skrini. Rahisi kwa uchunguzi wa awali wa haraka wa tovuti, baada ya hapo unaweza kuchagua malengo ya kipaumbele kwa mashambulizi.
Faida:
- Matokeo huunda kikundi cha faili na folda ambazo ni rahisi kutumia wakati wa kufanya kazi zaidi na zana zingine:
* Ripoti ya HTML iliyo na picha za skrini zilizokusanywa na mada za majibu zikiwa zimepangwa kwa kufanana;* Faili iliyo na URL zote ambapo tovuti zilipatikana;
* Faili iliyo na takwimu na data ya ukurasa;
* Folda iliyo na faili zilizo na vichwa vya majibu kutoka kwa malengo yaliyopatikana;
* Folda iliyo na faili zilizo na mwili wa majibu kutoka kwa malengo yaliyopatikana;
* Picha za skrini za tovuti zilizopatikana;
- Inasaidia kufanya kazi na ripoti za XML kutoka Nmap na Masscan;
- Hutumia Chrome/Chromium isiyo na kichwa kutoa picha za skrini.
Minus:
- Inaweza kuvutia usikivu wa mifumo ya kugundua uingilizi, kwa hivyo inahitaji usanidi.
Picha ya skrini ilichukuliwa kwa moja ya matoleo ya zamani ya aquatone (v0.5.0), ambapo utafutaji wa kikoa kidogo cha DNS ulitekelezwa. Matoleo ya zamani yanaweza kupatikana .
MassDNS
ni zana nyingine ya kutafuta vikoa vidogo vya DNS. Tofauti yake kuu ni kwamba hufanya maswali ya DNS moja kwa moja kwa visuluhishi vingi vya DNS na hufanya hivyo kwa kasi kubwa.
Faida:
- Haraka - yenye uwezo wa kutatua majina zaidi ya elfu 350 kwa sekunde.
Minus:
- MassDNS inaweza kusababisha mzigo mkubwa kwenye visuluhishi vya DNS vinavyotumika, jambo ambalo linaweza kusababisha kupigwa marufuku kwa seva hizo au malalamiko kwa Mtoa Huduma za Intaneti wako. Kwa kuongeza, itaweka mzigo mkubwa kwenye seva za DNS za kampuni, ikiwa wanazo na ikiwa wanajibika kwa vikoa unavyojaribu kutatua.
- Orodha ya visuluhishi imepitwa na wakati kwa sasa, lakini ukichagua visuluhishi vya DNS vilivyovunjika na kuongeza vipya vinavyojulikana, kila kitu kitakuwa sawa.
Picha ya skrini ya aquatone v0.5.0
ramani ya nsec3
ni zana ya Python ya kupata orodha kamili ya vikoa vilivyolindwa na DNSSEC.
Faida:
- Hugundua kwa haraka seva pangishi katika maeneo ya DNS na idadi ya chini zaidi ya hoja ikiwa usaidizi wa DNSSEC umewashwa katika eneo;
- Inajumuisha programu-jalizi ya John the Ripper ambayo inaweza kutumika kuvunja matokeo ya heshi NSEC3.
Minus:
- Makosa mengi ya DNS hayashughulikiwi ipasavyo;
- Hakuna usawazishaji otomatiki wa usindikaji rekodi za NSEC - lazima ugawanye nafasi ya majina kwa mikono;
- Matumizi ya kumbukumbu ya juu.
Acunetix
- kichanganuzi cha uwezekano wa kuathiriwa na wavuti ambacho hubadilisha mchakato wa kuangalia usalama wa programu za wavuti kiotomatiki. Hujaribu programu ya sindano za SQL, XSS, XXE, SSRF na udhaifu mwingine mwingi wa wavuti. Hata hivyo, kama skana nyingine yoyote, aina mbalimbali za udhaifu wa wavuti hazichukui nafasi ya pentester, kwa kuwa haiwezi kupata minyororo changamano ya udhaifu au udhaifu katika mantiki. Lakini inashughulikia udhaifu mwingi tofauti, ikijumuisha CVEs mbalimbali, ambazo pentester anaweza kuwa amezisahau, kwa hivyo ni rahisi sana kukukomboa kutoka kwa ukaguzi wa kawaida.
Faida:
- Kiwango cha chini cha chanya cha uongo;
- Matokeo yanaweza kusafirishwa kama ripoti;
- Hufanya idadi kubwa ya hundi kwa udhaifu mbalimbali;
- Uchanganuzi sambamba wa seva pangishi nyingi.
Minus:
- Hakuna algorithm ya upunguzaji (Acunetix itazingatia kurasa zinazofanana katika utendakazi kuwa tofauti, kwani zinaongoza kwa URL tofauti), lakini watengenezaji wanaifanyia kazi;
- Inahitaji usakinishaji kwenye seva tofauti ya wavuti, ambayo inatatiza mifumo ya mteja ya kupima na muunganisho wa VPN na kutumia skana katika sehemu iliyotengwa ya mtandao wa mteja wa ndani;
- Huduma inayochunguzwa inaweza kufanya kelele, kwa mfano, kwa kutuma vekta nyingi za kushambulia kwa fomu ya mawasiliano kwenye tovuti, na hivyo kutatiza sana michakato ya biashara;
- Ni wamiliki na, ipasavyo, sio suluhisho la bure.
Utafiti
- Chombo cha Python cha saraka na faili za kulazimisha-katili kwenye wavuti.
Faida:
- Inaweza kutofautisha kurasa halisi za "200 OK" kutoka kwa "200 OK", lakini kwa maandishi "ukurasa haujapatikana";
- Inakuja na kamusi rahisi ambayo ina uwiano mzuri kati ya ukubwa na ufanisi wa utafutaji. Ina njia za kawaida zinazojulikana kwa CMS nyingi na safu za teknolojia;
- Umbizo lake la kamusi, ambalo hukuruhusu kufikia ufanisi mzuri na unyumbufu katika kuorodhesha faili na saraka;
- Pato rahisi - maandishi wazi, JSON;
- Inaweza kufanya throttling - pause kati ya maombi, ambayo ni muhimu kwa ajili ya huduma yoyote dhaifu.
Minus:
- Viendelezi lazima vipitishwe kama mfuatano, jambo ambalo si rahisi ikiwa unahitaji kupitisha viendelezi vingi mara moja;
- Ili kutumia kamusi yako, itahitaji kurekebishwa kidogo hadi umbizo la kamusi ya Dirsearch kwa ufanisi wa juu zaidi.
wfuzz
- Fuza ya programu ya wavuti ya Python. Labda mmoja wa wapangaji maarufu wa wavuti. Kanuni ni rahisi: wfuzz hukuruhusu kuweka sehemu yoyote katika ombi la HTTP, ambayo inafanya uwezekano wa kuweka vigezo vya GET/POST, vichwa vya HTTP, pamoja na Vidakuzi na vichwa vingine vya uthibitishaji. Wakati huo huo, pia ni rahisi kwa nguvu rahisi ya brute ya saraka na faili, ambayo unahitaji kamusi nzuri. Pia ina mfumo wa chujio rahisi, ambao unaweza kuchuja majibu kutoka kwa tovuti kulingana na vigezo tofauti, ambayo inakuwezesha kufikia matokeo ya ufanisi.
Faida:
- Multifunctional - muundo wa msimu, mkutano unachukua dakika chache;
- Kuchuja kwa urahisi na utaratibu wa fuzzing;
- Unaweza kuweka njia yoyote ya HTTP, na vile vile mahali popote katika ombi la HTTP.
Minus:
- Chini ya maendeleo.
fufu
- kiboreshaji cha wavuti katika Go, iliyoundwa kwa "picha na mfano" wa wfuzz, hukuruhusu kudhulumu faili, saraka, njia za URL, majina na maadili ya vigezo vya GET/POST, vichwa vya HTTP, pamoja na kichwa cha Mpangishi kwa nguvu ya kikatili. ya majeshi ya mtandaoni. wfuzz hutofautiana na kaka yake kwa kasi ya juu na baadhi ya vipengele vipya, kwa mfano, inasaidia kamusi za umbizo la Dirsearch.
Faida:
- Vichungi ni sawa na vichungi vya wfuzz, hukuruhusu kusanidi kwa urahisi nguvu ya kikatili;
- Inakuruhusu kubatilisha thamani za vichwa vya HTTP, data ya ombi la POST na sehemu mbalimbali za URL, ikijumuisha majina na thamani za vigezo vya GET;
- Unaweza kubainisha mbinu yoyote ya HTTP.
Minus:
- Chini ya maendeleo.
gobuster
- zana ya Go kwa upelelezi, ina njia mbili za uendeshaji. Ya kwanza inatumika kulazimisha faili na saraka kwenye tovuti, ya pili inatumika kulazimisha vikoa vidogo vya DNS. Chombo hicho hakiungi mkono uhesabuji unaorudiwa wa faili na saraka, ambazo, kwa kweli, huokoa wakati, lakini kwa upande mwingine, nguvu ya kikatili ya kila mwisho mpya kwenye wavuti lazima izinduliwe kando.
Faida:
- Kasi ya juu ya utendakazi kwa utafutaji wa nguvu wa kikatili wa vikoa vidogo vya DNS na kwa nguvu kali ya faili na saraka.
Minus:
- Toleo la sasa halitumii kuweka vichwa vya HTTP;
- Kwa chaguo-msingi, ni baadhi tu ya misimbo ya hali ya HTTP (200,204,301,302,307) inachukuliwa kuwa halali.
Arjun
- zana ya nguvu kali ya vigezo vilivyofichwa vya HTTP katika vigezo vya GET/POST, na vile vile katika JSON. Kamusi iliyojengewa ndani ina maneno 25, ambayo Ajrun hukagua kwa karibu sekunde 980. Ujanja ni kwamba Ajrun haangalii kila parameta kando, lakini hukagua ~ 30 vigezo kwa wakati mmoja na kuona ikiwa jibu limebadilika. Ikiwa jibu limebadilika, linagawanya vigezo 1000 katika sehemu mbili na huangalia ni sehemu gani ya sehemu hizi zinazoathiri jibu. Kwa hiyo, kwa kutumia utafutaji rahisi wa binary, parameter au vigezo kadhaa vya siri hupatikana ambavyo viliathiri jibu na, kwa hiyo, vinaweza kuwepo.
Faida:
- Kasi ya juu kutokana na utafutaji wa binary;
- Msaada kwa vigezo vya GET/POST, pamoja na vigezo katika mfumo wa JSON;
Programu-jalizi ya Burp Suite inafanya kazi kwa kanuni sawa - , ambayo pia ni nzuri sana katika kupata vigezo vya siri vya HTTP. Tutakuambia zaidi juu yake katika makala ijayo kuhusu Burp na programu-jalizi zake.
LinkFinder
- Hati ya Python ya kutafuta viungo kwenye faili za JavaScript. Inafaa kwa kupata vidokezo/URL zilizofichwa au zilizosahaulika katika programu ya wavuti.
Faida:
- Haraka;
- Kuna programu-jalizi maalum ya Chrome kulingana na LinkFinder.
.
Minus:
- Hitimisho la mwisho lisilofaa;
- Haichambui JavaScript baada ya muda;
- Mantiki rahisi kabisa ya kutafuta viungo - ikiwa JavaScript imefichwa kwa njia fulani, au viungo hapo awali havipo na kuzalishwa kwa nguvu, basi haitaweza kupata chochote.
JSParser
ni hati ya Python inayotumia ΠΈ kuchanganua URL za jamaa kutoka kwa faili za JavaScript. Ni muhimu sana kwa kugundua maombi ya AJAX na kuandaa orodha ya njia za API ambazo programu huingiliana nazo. Inafanya kazi kwa ufanisi kwa kushirikiana na LinkFinder.
Faida:
- Uchanganuzi wa haraka wa faili za JavaScript.
sqlmap
pengine ni mojawapo ya zana maarufu zaidi za kuchanganua programu tumizi za wavuti. Sqlmap huendesha utafutaji na uendeshaji wa sindano za SQL kiotomatiki, hufanya kazi na lahaja kadhaa za SQL, na ina idadi kubwa ya mbinu tofauti katika safu yake ya uokoaji, kuanzia nukuu za moja kwa moja hadi vekta changamano za sindano za SQL zinazotegemea wakati. Kwa kuongezea, ina mbinu nyingi za unyonyaji zaidi kwa DBMS anuwai, kwa hivyo ni muhimu sio tu kama kichanganuzi cha sindano za SQL, lakini pia kama zana yenye nguvu ya kutumia sindano za SQL zilizopatikana tayari.
Faida:
- Idadi kubwa ya mbinu tofauti na vectors;
- Idadi ya chini ya chanya za uwongo;
- Chaguzi nyingi za kurekebisha vizuri, mbinu mbalimbali, hifadhidata lengwa, hati za kupotosha za kupitisha WAF;
- Uwezo wa kuunda dampo la pato;
- Uwezo mwingi wa kufanya kazi tofauti, kwa mfano, kwa hifadhidata fulani - upakiaji / upakiaji wa moja kwa moja wa faili, kupata uwezo wa kutekeleza amri (RCE) na zingine;
- Msaada wa uunganisho wa moja kwa moja kwenye hifadhidata kwa kutumia data iliyopatikana wakati wa shambulio;
- Unaweza kuwasilisha faili ya maandishi na matokeo ya Burp kama ingizo - hakuna haja ya kutunga mwenyewe sifa zote za mstari wa amri.
Minus:
- Ni vigumu kubinafsisha, kwa mfano, kuandika baadhi ya hundi zako mwenyewe kutokana na uhaba wa nyaraka kwa hili;
- Bila mipangilio inayofaa, hufanya seti isiyo kamili ya hundi, ambayo inaweza kupotosha.
NoSQLMap
- Zana ya Python ya kuorodhesha utaftaji na unyonyaji wa sindano za NoSQL. Ni rahisi kutumia sio tu katika hifadhidata za NoSQL, lakini pia moja kwa moja wakati wa kukagua programu za wavuti zinazotumia NoSQL.
Faida:
- Kama sqlmap, haipati tu uwezekano wa kuathiriwa, lakini pia hukagua uwezekano wa unyonyaji wake kwa MongoDB na CouchDB.
Minus:
- Haitumii NoSQL kwa Redis, Cassandra, maendeleo yanaendelea katika mwelekeo huu.
oxml_xxe
β chombo cha kupachika XXE XML ushujaa katika aina mbalimbali za faili zinazotumia umbizo la XML kwa namna fulani.
Faida:
- Inaauni umbizo nyingi za kawaida kama vile DOCX, ODT, SVG, XML.
Minus:
- Usaidizi wa PDF, JPEG, GIF haujatekelezwa kikamilifu;
- Inaunda faili moja tu. Ili kutatua tatizo hili unaweza kutumia chombo , ambayo inaweza kuunda idadi kubwa ya faili za malipo katika maeneo tofauti.
Huduma zilizo hapo juu hufanya kazi nzuri ya kujaribu XXE wakati wa kupakia hati zilizo na XML. Lakini pia kumbuka kuwa vidhibiti vya umbizo la XML vinaweza kupatikana katika visa vingine vingi, kwa mfano, XML inaweza kutumika kama umbizo la data badala ya JSON.
Kwa hivyo, tunapendekeza uzingatie hazina ifuatayo, ambayo ina idadi kubwa ya mizigo tofauti: .
tplmap
- Zana ya Python ya kutambua kiotomatiki na kutumia udhaifu wa Sindano ya Kiolezo cha Seva-Side; ina mipangilio na bendera zinazofanana na sqlmap. Hutumia mbinu na vekta mbalimbali, ikiwa ni pamoja na sindano ya upofu, na pia ina mbinu za kutekeleza msimbo na kupakia/kupakia faili kiholela. Kwa kuongezea, ana katika mbinu zake za safu ya ushambuliaji kwa injini kadhaa za templeti tofauti na mbinu kadhaa za kutafuta sindano za nambari za eval() katika Python, Ruby, PHP, JavaScript. Ikiwa imefanikiwa, inafungua console inayoingiliana.
Faida:
- Idadi kubwa ya mbinu tofauti na vectors;
- Inasaidia injini nyingi za utoaji template;
- Mbinu nyingi za uendeshaji.
CeWL
- jenereta ya kamusi katika Ruby, iliyoundwa ili kutoa maneno ya kipekee kutoka kwa tovuti maalum, hufuata viungo kwenye tovuti kwa kina maalum. Kamusi iliyokusanywa ya maneno ya kipekee inaweza kutumika baadaye kulazimisha manenosiri kwenye huduma au faili na saraka kwenye tovuti hiyo hiyo, au kushambulia heshi zinazotokana kwa kutumia hashcat au John the Ripper. Inafaa wakati wa kuunda orodha ya "lengo" ya manenosiri yanayoweza kutokea.
Faida:
- Rahisi kutumia.
Minus:
- Unahitaji kuwa mwangalifu na kina cha utaftaji ili usichukue kikoa cha ziada.
Njia dhaifu
- huduma iliyo na kamusi nyingi zilizo na nywila za kipekee. Muhimu sana kwa kazi mbalimbali zinazohusiana na kuvunja nenosiri, kuanzia nguvu rahisi ya mtandaoni ya ukatili wa akaunti kwenye huduma lengwa, hadi nguvu isiyo ya mtandaoni ya heshi zilizopokewa kwa kutumia. au . Ina nywila zipatazo bilioni 8 zenye urefu wa vibambo 4 hadi 25.
Faida:
- Ina kamusi maalum na kamusi zilizo na manenosiri ya kawaida - unaweza kuchagua kamusi maalum kwa mahitaji yako mwenyewe;
- Kamusi zinasasishwa na kujazwa tena na nywila mpya;
- Kamusi hupangwa kwa ufanisi. Unaweza kuchagua chaguo kwa nguvu za haraka za kinyama mtandaoni na uteuzi wa kina wa manenosiri kutoka kwa kamusi yenye uvujaji wa hivi punde zaidi;
- Kuna kikokotoo ambacho kinaonyesha muda unaotumika kutega manenosiri kwenye kifaa chako.
Tungependa kujumuisha zana za ukaguzi wa CMS katika kikundi tofauti: WPScan, JoomScan na kidukuzi cha AEM.
AEM_hacker
ni zana ya kutambua udhaifu katika programu za Kidhibiti cha Uzoefu cha Adobe (AEM).
Faida:
- Inaweza kutambua maombi ya AEM kutoka kwa orodha ya URL zilizowasilishwa kwa mchango wake;
- Ina hati za kupata RCE kwa kupakia shell ya JSP au kutumia SSRF.
JoomScan
- zana ya Perl ya kuorodhesha ugunduzi wa udhaifu wakati wa kupeleka Joomla CMS.
Faida:
- Uwezo wa kupata dosari za usanidi na shida na mipangilio ya kiutawala;
- Huorodhesha matoleo ya Joomla na udhaifu unaohusishwa, vivyo hivyo kwa vipengele vya mtu binafsi;
- Ina zaidi ya 1000 ushujaa kwa vipengele Joomla;
- Pato la ripoti za mwisho katika maandishi na umbizo la HTML.
WPScan
- zana ya kuchanganua tovuti za WordPress, ina udhaifu katika safu yake ya uokoaji kwa injini ya WordPress yenyewe na kwa programu-jalizi zingine.
Faida:
- Uwezo wa kuorodhesha sio tu programu-jalizi na mada zisizo salama za WordPress, lakini pia kupata orodha ya watumiaji na faili za TimThumb;
- Inaweza kufanya mashambulizi ya nguvu ya kikatili kwenye tovuti za WordPress.
Minus:
- Bila mipangilio inayofaa, hufanya seti isiyo kamili ya hundi, ambayo inaweza kupotosha.
Kwa ujumla, watu tofauti wanapendelea zana tofauti za kazi: zote ni nzuri kwa njia yao wenyewe, na kile mtu mmoja anapenda huenda kisifae mwingine kabisa. Ikiwa unafikiri kwamba tumepuuza kwa njia isiyo ya haki matumizi mazuri, andika juu yake katika maoni!
Chanzo: mapenzi.com