புரோஹோஸ்டர் > Блог > நிர்வாகம் > இணைய வளங்களைத் தேடுவதற்கான இலவச கருவிகள் மற்றும் பலவற்றை மதிப்பாய்வு செய்யவும் v2
இணைய வளங்களைத் தேடுவதற்கான இலவச கருவிகள் மற்றும் பலவற்றை மதிப்பாய்வு செய்யவும் v2
சில காலத்திற்கு முன்பு நான் எழுதினேன் இந்த, ஆனால் கொஞ்சம் அற்பமான மற்றும் குழப்பமான. பின்னர், மதிப்பாய்வில் உள்ள கருவிகளின் பட்டியலை விரிவுபடுத்தவும், கட்டுரையின் கட்டமைப்பைச் சேர்க்கவும், விமர்சனத்தை கணக்கில் எடுத்துக்கொள்ளவும் முடிவு செய்தேன் (மிக்க நன்றி லெப்டி ஆலோசனைக்காக) மற்றும் SecLab இல் ஒரு போட்டிக்கு அனுப்பியது (மற்றும் வெளியிடப்பட்டது இணைப்பை, ஆனால் எல்லா வெளிப்படையான காரணங்களுக்காகவும் யாரும் அவளைப் பார்க்கவில்லை). போட்டி முடிந்துவிட்டது, முடிவுகள் அறிவிக்கப்பட்டுள்ளன, தெளிவான மனசாட்சியுடன் நான் அதை (கட்டுரையை) ஹப்ரேயில் வெளியிட முடியும்.
இலவச இணைய பயன்பாட்டு பென்டெஸ்டர் கருவிகள்
இந்த கட்டுரையில் "கருப்பு பெட்டி" மூலோபாயத்தைப் பயன்படுத்தி வலை பயன்பாடுகளின் ஊடுருவல் (ஊடுருவல் சோதனைகள்) மிகவும் பிரபலமான கருவிகளைப் பற்றி பேசுவேன்.
இதைச் செய்ய, இந்த வகை சோதனைக்கு உதவும் பயன்பாடுகளைப் பார்ப்போம். பின்வரும் தயாரிப்பு வகைகளைக் கவனியுங்கள்:
நெட்வொர்க் ஸ்கேனர்கள்
வலை ஸ்கிரிப்ட் மீறல் ஸ்கேனர்கள்
சுரண்டல்
ஊசி மருந்துகளின் ஆட்டோமேஷன்
பிழைத்திருத்தங்கள் (ஸ்னிஃபர்கள், உள்ளூர் ப்ராக்ஸிகள் போன்றவை)
சில தயாரிப்புகள் உலகளாவிய "எழுத்து" கொண்டவை, எனவே நான் அவற்றை எந்த பிரிவில் வகைப்படுத்துவேன்оசிறந்த முடிவு (அகநிலை கருத்து).
நெட்வொர்க் ஸ்கேனர்கள்.
கிடைக்கக்கூடிய பிணைய சேவைகளைக் கண்டறிதல், அவற்றின் பதிப்புகளை நிறுவுதல், OS ஐத் தீர்மானித்தல் போன்றவை முக்கிய பணியாகும்.
nmap Nmap ("நெட்வொர்க் மேப்பர்") நெட்வொர்க் பகுப்பாய்வு மற்றும் கணினி பாதுகாப்பு தணிக்கைக்கான இலவச மற்றும் திறந்த மூல பயன்பாடாகும். கன்சோலின் வன்முறை எதிர்ப்பாளர்கள் Zenmap ஐப் பயன்படுத்தலாம், இது Nmapக்கான GUI ஆகும்.
இது ஒரு “ஸ்மார்ட்” ஸ்கேனர் மட்டுமல்ல, இது ஒரு தீவிரமான நீட்டிக்கக்கூடிய கருவியாகும் (“அசாதாரண அம்சங்களில்” ஒன்று புழுவின் இருப்புக்கான முனையைச் சரிபார்க்க ஒரு ஸ்கிரிப்ட் இருப்பது "அலையில் Stuxnet"(குறிப்பிடப்பட்டுள்ளது இங்கே) வழக்கமான பயன்பாட்டு உதாரணம்:
nmap -A -T4 localhost
OS பதிப்பு கண்டறிதல், ஸ்கிரிப்ட் ஸ்கேனிங் மற்றும் ட்ரேசிங் ஆகியவற்றுக்கான -A
-T4 நேரக் கட்டுப்பாடு அமைப்பு (மேலும் வேகமானது, 0 முதல் 5 வரை)
லோக்கல் ஹோஸ்ட் - இலக்கு புரவலன்
கடினமான ஏதாவது?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
இது Zenmap இல் உள்ள "மெதுவான விரிவான ஸ்கேன்" சுயவிவரத்தின் விருப்பங்களின் தொகுப்பாகும். இது முடிக்க நீண்ட நேரம் எடுக்கும், ஆனால் இறுதியில் இலக்கு அமைப்பைப் பற்றி அறியக்கூடிய விரிவான தகவல்களை வழங்குகிறது. ரஷ்ய மொழியில் உதவி வழிகாட்டி, நீங்கள் ஆழமாக செல்ல முடிவு செய்தால், கட்டுரையை மொழிபெயர்க்கவும் பரிந்துரைக்கிறேன் Nmapக்கான தொடக்க வழிகாட்டி.
Linux Journal, Info World, LinuxQuestions.Org மற்றும் Codetalker Digest போன்ற பத்திரிகைகள் மற்றும் சமூகங்களிலிருந்து Nmap "ஆண்டின் பாதுகாப்பு தயாரிப்பு" அந்தஸ்தைப் பெற்றுள்ளது. ஒரு சுவாரசியமான விஷயம், Nmap ஐ "The Matrix Reloaded", "Die Hard 4", "The Bourne Ultimatum", "Hottabych" மற்றும் படங்களில் காணலாம். மற்றவைகள்.
ஐபி-கருவிகள் ஐபி-கருவிகள் - பல்வேறு நெட்வொர்க் பயன்பாடுகளின் ஒரு வகையான தொகுப்பு, ஒரு GUI உடன் வருகிறது, இது விண்டோஸ் பயனர்களுக்கு "அர்ப்பணிக்கப்பட்ட".
போர்ட் ஸ்கேனர், பகிரப்பட்ட ஆதாரங்கள் (பகிரப்பட்ட அச்சுப்பொறிகள்/கோப்புறைகள்), WhoIs/Finger/Lookup, telnet client மற்றும் பல. ஒரு வசதியான, வேகமான, செயல்பாட்டு கருவி.
மற்ற தயாரிப்புகளை கருத்தில் கொள்வதில் குறிப்பிட்ட புள்ளி எதுவும் இல்லை, ஏனெனில் இந்த பகுதியில் நிறைய பயன்பாடுகள் உள்ளன மற்றும் அவை அனைத்தும் ஒரே மாதிரியான செயல்பாட்டுக் கொள்கைகள் மற்றும் செயல்பாடுகளைக் கொண்டுள்ளன. இருப்பினும், nmap அடிக்கடி பயன்படுத்தப்படுகிறது.
வலை ஸ்கிரிப்ட் மீறல் ஸ்கேனர்கள்
பிரபலமான பாதிப்புகள் (SQL inj, XSS, LFI/RFI, முதலியன) அல்லது பிழைகள் (நீக்கப்படாத தற்காலிக கோப்புகள், அடைவு அட்டவணைப்படுத்தல் போன்றவை) கண்டறிய முயற்சிக்கிறது.
அகுனெடிக்ஸ் வலை பாதிப்பு ஸ்கேனர் அகுனெடிக்ஸ் வலை பாதிப்பு ஸ்கேனர் - இணைப்பிலிருந்து இது ஒரு xss ஸ்கேனர் என்பதை நீங்கள் காணலாம், ஆனால் இது முற்றிலும் உண்மையல்ல. இங்கே கிடைக்கும் இலவச பதிப்பு, நிறைய செயல்பாடுகளை வழங்குகிறது. வழக்கமாக, இந்த ஸ்கேனரை முதன்முறையாக இயக்கி, முதல் முறையாக தனது ஆதாரத்தைப் பற்றிய அறிக்கையைப் பெறுபவர் லேசான அதிர்ச்சியை அனுபவிப்பார், மேலும் நீங்கள் ஏன் இதைச் செய்தீர்கள் என்பதை நீங்கள் புரிந்துகொள்வீர்கள். இது ஒரு இணையதளத்தில் உள்ள அனைத்து வகையான பாதிப்புகளையும் பகுப்பாய்வு செய்வதற்கான மிகவும் சக்திவாய்ந்த தயாரிப்பு மற்றும் வழக்கமான PHP வலைத்தளங்களுடன் மட்டுமல்லாமல், பிற மொழிகளிலும் செயல்படுகிறது (மொழியில் உள்ள வேறுபாடு ஒரு குறிகாட்டியாக இல்லை என்றாலும்). ஸ்கேனர் பயனரின் செயல்களை "எடுக்கிறது" என்பதால், வழிமுறைகளை விவரிப்பதில் குறிப்பிட்ட புள்ளி எதுவும் இல்லை. வழக்கமான மென்பொருள் நிறுவலில் "அடுத்து, அடுத்தது, அடுத்தது, தயார்" போன்றது.
Nikto Nikto இது ஒரு ஓப்பன் சோர்ஸ் (ஜிபிஎல்) வலை கிராலர். வழக்கமான கையேடு வேலைகளை நீக்குகிறது. நீக்கப்படாத ஸ்கிரிப்ட்களுக்கான இலக்கு தளத்தைத் தேடுகிறது (சில test.php, index_.php, முதலியன), தரவுத்தள நிர்வாகக் கருவிகள் (/phpmyadmin/, /pma மற்றும் போன்றவை), அதாவது, மிகவும் பொதுவான பிழைகளுக்கான ஆதாரத்தை சரிபார்க்கிறது. பொதுவாக மனித காரணிகளால் ஏற்படுகிறது.
கூடுதலாக, சில பிரபலமான ஸ்கிரிப்டைக் கண்டறிந்தால், அது வெளியிடப்பட்ட சுரண்டல்களை (தரவுத்தளத்தில் உள்ளவை) சரிபார்க்கிறது.
PUT மற்றும் TRACE போன்ற "தேவையற்ற" முறைகளைப் புகாரளிக்கிறது
மற்றும் பல. நீங்கள் ஒரு ஆடிட்டராக பணிபுரிந்து ஒவ்வொரு நாளும் வலைத்தளங்களை பகுப்பாய்வு செய்தால் இது மிகவும் வசதியானது.
குறைபாடுகளில், தவறான நேர்மறைகளின் அதிக சதவீதத்தை நான் கவனிக்க விரும்புகிறேன். எடுத்துக்காட்டாக, உங்கள் தளம் எப்போதும் 404 பிழைக்குப் பதிலாக முதன்மைப் பிழையைக் கொடுத்தால் (அது எப்போது நிகழ வேண்டும்), உங்கள் தளத்தில் அதன் தரவுத்தளத்தில் உள்ள அனைத்து ஸ்கிரிப்ட்கள் மற்றும் அனைத்து பாதிப்புகளும் உள்ளன என்று ஸ்கேனர் கூறும். நடைமுறையில், இது அடிக்கடி நடக்காது, ஆனால் உண்மையில், உங்கள் தளத்தின் கட்டமைப்பைப் பொறுத்தது.
கிளாசிக் பயன்பாடு:
./nikto.pl -host localhost
தளத்தில் நீங்கள் அங்கீகரிக்கப்பட வேண்டும் என்றால், நீங்கள் ஒரு குக்கீயை nikto.conf கோப்பில், STATIC-COOKIE மாறியில் அமைக்கலாம்.
விக்டோ விக்டோ — விண்டோஸிற்கான Nikto, ஆனால் சில சேர்த்தல்களுடன், பிழைகளுக்கான குறியீட்டைச் சரிபார்க்கும் போது "தெளிவில்லாத" தர்க்கம், GHDB ஐப் பயன்படுத்துதல், இணைப்புகள் மற்றும் ஆதார கோப்புறைகளைப் பெறுதல், HTTP கோரிக்கைகள்/பதில்களின் நிகழ்நேர கண்காணிப்பு. விக்டோ C# இல் எழுதப்பட்டுள்ளது மற்றும் .NET கட்டமைப்பு தேவைப்படுகிறது.
skipfish skipfish - இணைய பாதிப்பு ஸ்கேனர் இருந்து மைக்கல் ஜலேவ்ஸ்கி (lcamtuf என அறியப்படுகிறது). C, குறுக்கு-தளத்தில் எழுதப்பட்டது (வெற்றிக்கு Cygwin தேவை). மீண்டும் மீண்டும் (மற்றும் மிக நீண்ட நேரம், சுமார் 20~40 மணிநேரம், கடைசியாக எனக்கு 96 மணிநேரம் வேலை செய்திருந்தாலும்) அது முழு தளத்தையும் வலம் வந்து எல்லாவிதமான பாதுகாப்பு ஓட்டைகளையும் கண்டறிகிறது. இது நிறைய ட்ராஃபிக்கை உருவாக்குகிறது (பல ஜிபி உள்வரும்/வெளிச்செல்லும்). ஆனால் எல்லா வழிகளும் நல்லது, குறிப்பாக உங்களிடம் நேரமும் வளங்களும் இருந்தால்.
வழக்கமான பயன்பாடு:
./skipfish -o /home/reports www.example.com
"அறிக்கைகள்" கோப்புறையில் html இல் ஒரு அறிக்கை இருக்கும், உதாரணமாக.
w3af w3af - வலை பயன்பாட்டு தாக்குதல் மற்றும் தணிக்கை கட்டமைப்பு, திறந்த மூல வலை பாதிப்பு ஸ்கேனர். இது ஒரு GUI உள்ளது, ஆனால் நீங்கள் கன்சோலில் இருந்து வேலை செய்யலாம். இன்னும் துல்லியமாக, இது ஒரு கட்டமைப்பாகும் செருகுநிரல்களின் கொத்து.
அதன் நன்மைகளைப் பற்றி நீங்கள் நீண்ட நேரம் பேசலாம், முயற்சி செய்வது நல்லது :]
அதனுடன் வழக்கமான வேலை ஒரு சுயவிவரத்தைத் தேர்ந்தெடுப்பது, ஒரு இலக்கைக் குறிப்பிடுவது மற்றும் உண்மையில் அதைத் தொடங்குவது.
மந்திர பாதுகாப்பு கட்டமைப்பு மந்திரம்என்பது நனவாகிய கனவு. இணைய உலாவியில் கட்டமைக்கப்பட்ட இலவச மற்றும் திறந்த தகவல் பாதுகாப்பு கருவிகளின் தொகுப்பு.
அனைத்து நிலைகளிலும் இணைய பயன்பாடுகளை சோதிக்கும் போது மிகவும் பயனுள்ளதாக இருக்கும்.
உலாவியை நிறுவுவதற்கும் துவக்குவதற்கும் பயன்பாடு குறைகிறது.
உண்மையில், இந்த பிரிவில் நிறைய பயன்பாடுகள் உள்ளன, அவற்றிலிருந்து ஒரு குறிப்பிட்ட பட்டியலைத் தேர்ந்தெடுப்பது மிகவும் கடினம். பெரும்பாலும், ஒவ்வொரு பெண்டெஸ்டரும் தனக்குத் தேவையான கருவிகளின் தொகுப்பைத் தீர்மானிக்கிறார்.
சுரண்டல்
பாதிப்புகளை தானியங்கு மற்றும் மிகவும் வசதியான சுரண்டலுக்காக, சுரண்டல்கள் மென்பொருள் மற்றும் ஸ்கிரிப்ட்களில் எழுதப்படுகின்றன, அவை பாதுகாப்பு துளையைச் சுரண்டுவதற்கு அளவுருக்களை மட்டுமே அனுப்ப வேண்டும். சுரண்டல்களை கைமுறையாகத் தேட வேண்டிய அவசியத்தை நீக்கும் தயாரிப்புகள் உள்ளன, மேலும் அவற்றை பறக்கும்போது கூட பயன்படுத்துகின்றன. இந்த வகை இப்போது விவாதிக்கப்படும்.
Metasploit கட்டமைப்பு Metasploit® கட்டமைப்பு - எங்கள் வணிகத்தில் ஒரு வகையான அசுரன். அறிவுறுத்தல்கள் பல கட்டுரைகளை உள்ளடக்கும் அளவுக்கு அவரால் செய்ய முடியும். தானியங்குச் சுரண்டலைப் பார்ப்போம் (nmap + metasploit). இதன் முக்கிய அம்சம் இதுதான்: Nmap நமக்குத் தேவையான போர்ட்டைப் பகுப்பாய்வு செய்து, சேவையை நிறுவும், மேலும் மெட்டாஸ்ப்ளோயிட் சேவை வகுப்பின் (ftp, ssh, முதலியன) அடிப்படையில் சுரண்டலைப் பயன்படுத்த முயற்சிக்கும். உரை வழிமுறைகளுக்குப் பதிலாக, autopwn என்ற தலைப்பில் மிகவும் பிரபலமான ஒரு வீடியோவைச் செருகுவேன்
அல்லது நமக்குத் தேவையான சுரண்டலின் செயல்பாட்டை தானியக்கமாக்கலாம். எ.கா:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
உண்மையில், இந்த கட்டமைப்பின் திறன்கள் மிகவும் விரிவானவை, எனவே நீங்கள் ஆழமாக செல்ல முடிவு செய்தால், செல்லவும் இணைப்பை
ஆர்மிடேஜ் ஆர்மிடேஜ் - Metasploit க்கான சைபர்பங்க் வகை GUI இன் OVA. இலக்கைக் காட்சிப்படுத்துகிறது, சுரண்டல்களைப் பரிந்துரைக்கிறது மற்றும் கட்டமைப்பின் மேம்பட்ட அம்சங்களை வழங்குகிறது. பொதுவாக, எல்லாவற்றையும் அழகாகவும் சுவாரஸ்யமாகவும் பார்க்க விரும்புபவர்களுக்கு.
திரைக்கதை:
Tenable Nessus® டெனபிள் Nessus® பாதிப்பு ஸ்கேனர் - நிறைய விஷயங்களைச் செய்ய முடியும், ஆனால் அதிலிருந்து நமக்குத் தேவைப்படும் திறன்களில் ஒன்று, எந்தச் சேவைகளில் சுரண்டல்கள் உள்ளன என்பதைத் தீர்மானிப்பதாகும். தயாரிப்பின் இலவச பதிப்பு "வீட்டில் மட்டும்"
பயன்படுத்தவும்:
பதிவிறக்கம் செய்யப்பட்டது (உங்கள் கணினிக்கு), நிறுவப்பட்டது, பதிவு செய்யப்பட்டது (விசை உங்கள் மின்னஞ்சலுக்கு அனுப்பப்பட்டது).
சேவையகத்தைத் தொடங்கியது, பயனரை Nessus சர்வர் மேலாளரிடம் சேர்த்தது (பயனர்களை நிர்வகி பொத்தான்)
நாங்கள் முகவரிக்குச் செல்கிறோம்
https://localhost:8834/
உலாவியில் ஃபிளாஷ் கிளையண்டைப் பெறவும்
ஸ்கேன்கள் -> சேர் -> புலங்களை நிரப்பவும் (எங்களுக்கு ஏற்ற ஸ்கேனிங் சுயவிவரத்தைத் தேர்ந்தெடுப்பதன் மூலம்) மற்றும் ஸ்கேன் என்பதைக் கிளிக் செய்யவும்
சிறிது நேரம் கழித்து, ஸ்கேன் அறிக்கை அறிக்கைகள் தாவலில் தோன்றும்
சுரண்டலுக்கான சேவைகளின் நடைமுறை பாதிப்பைச் சரிபார்க்க, மேலே விவரிக்கப்பட்ட Metasploit கட்டமைப்பைப் பயன்படுத்தலாம் அல்லது ஒரு சுரண்டலைக் கண்டறிய முயற்சி செய்யலாம் (எடுத்துக்காட்டாக, on எக்ஸ்ப்ளாட்-டிபி, பாக்கெட் புயல், சுரண்டல் தேடல் முதலியன) மற்றும் எதிராக கைமுறையாக பயன்படுத்தவும் அதன் அமைப்பு IMHO: மிகவும் பருமனானது. மென்பொருள் துறையின் இந்த திசையில் முன்னணியில் இருந்தவர்களில் ஒருவராக நான் அவரைக் கொண்டு வந்தேன்.
ஊசி மருந்துகளின் ஆட்டோமேஷன்
பல இணைய பயன்பாட்டு நொடி ஸ்கேனர்கள் ஊசிகளைத் தேடுகின்றன, ஆனால் அவை இன்னும் பொதுவான ஸ்கேனர்கள் மட்டுமே. மற்றும் குறிப்பாக ஊசிகளைத் தேடுவதையும் சுரண்டுவதையும் கையாளும் பயன்பாடுகள் உள்ளன. அவற்றைப் பற்றி இப்போது பேசுவோம்.
sqlmap sqlmap - SQL ஊசிகளைத் தேடுவதற்கும் பயன்படுத்துவதற்கும் திறந்த மூல பயன்பாடு. MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB போன்ற தரவுத்தள சேவையகங்களை ஆதரிக்கிறது.
வழக்கமான பயன்பாடு வரிக்கு கீழே கொதித்தது:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
ரஷ்ய மொழி உட்பட போதுமான கையேடுகள் உள்ளன. இந்த பகுதியில் பணிபுரியும் போது ஒரு பெண்டெஸ்டரின் வேலையை மென்பொருள் பெரிதும் எளிதாக்குகிறது.
அதிகாரப்பூர்வ வீடியோ விளக்கத்தைச் சேர்ப்பேன்:
bsqlbf-v2 bsqlbf-v2 - ஒரு பெர்ல் ஸ்கிரிப்ட், "குருட்டு" SQL ஊசிகளுக்கான ஒரு முரட்டு சக்தி. url இல் முழு எண் மதிப்புகள் மற்றும் சர மதிப்புகள் இரண்டிலும் வேலை செய்கிறது.
தரவுத்தளம் ஆதரிக்கப்படுகிறது:
MS-SQL
MySQL,
போஸ்ட்கெரே
Oracle
பயன்பாட்டின் எடுத்துக்காட்டு:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url www.somehost.com/blah.php?u=5 - அளவுருக்களுடன் இணைப்பு -குருடு - உட்செலுத்தலுக்கான அளவுரு (இயல்புநிலையாக கடைசியாக முகவரிப் பட்டியில் இருந்து எடுக்கப்பட்டது) -sql "imformation_schema.tables இலிருந்து table_name ஐத் தேர்ந்தெடுக்கவும் வரம்பு 1 ஆஃப்செட் 0" - தரவுத்தளத்திற்கான எங்கள் தன்னிச்சையான கோரிக்கை தரவுத்தளம் 1 — தரவுத்தள சேவையகம்: MSSQL -வகை 1 - தாக்குதல் வகை, "குருட்டு" ஊசி, உண்மை மற்றும் பிழையின் அடிப்படையில் (உதாரணமாக, தொடரியல் பிழைகள்) பதில்கள்
பிழைத்திருத்தங்கள்
இந்த கருவிகள் முக்கியமாக டெவலப்பர்களால் தங்கள் குறியீட்டை இயக்கும் முடிவுகளில் சிக்கல்கள் இருக்கும்போது பயன்படுத்தப்படுகின்றன. ஆனால், இந்த திசையானது, ஃப்ளையில் நமக்குத் தேவையான தரவை மாற்றியமைக்கும் போது, நமது உள்ளீட்டு அளவுருக்களுக்கு (உதாரணமாக, குழப்பத்தின் போது) பதிலளிப்பதை பகுப்பாய்வு செய்யும்போது, ஊடுருவலுக்கும் பயனுள்ளதாக இருக்கும்.
பர்ப் சூட் பர்ப் சூட் - ஊடுருவல் சோதனைகளுக்கு உதவும் பயன்பாடுகளின் தொகுப்பு. இது இணையத்தில் உள்ளது நல்ல விமர்சனம் Raz0r இலிருந்து ரஷ்ய மொழியில் (2008 இல் இருந்தாலும்).
இலவச பதிப்பில் பின்வருவன அடங்கும்:
Burp Proxy என்பது ஒரு உள்ளூர் ப்ராக்ஸி ஆகும், இது உலாவியில் இருந்து ஏற்கனவே உருவாக்கப்பட்ட கோரிக்கைகளை மாற்ற உங்களை அனுமதிக்கிறது
பர்ப் ஸ்பைடர் - சிலந்தி, ஏற்கனவே உள்ள கோப்புகள் மற்றும் கோப்பகங்களைத் தேடுகிறது
பர்ப் சீக்வென்சர் - வடிவங்களில் சீரற்ற மதிப்புகளை பகுப்பாய்வு செய்தல்
பர்ப் டிகோடர் என்பது ஒரு நிலையான குறியாக்கி-டிகோடர் (html, base64, hex, முதலியன), இதில் ஆயிரக்கணக்கானவை உள்ளன, அவை எந்த மொழியிலும் விரைவாக எழுதப்படலாம்
பர்ப் ஒப்பிடுபவர் - சரம் ஒப்பீட்டு கூறு
கொள்கையளவில், இந்த தொகுப்பு இந்த பகுதி தொடர்பான அனைத்து சிக்கல்களையும் தீர்க்கிறது.
ஏதேனும் ஏதேனும் - ஃபிட்லர் என்பது அனைத்து HTTP(S) போக்குவரத்தையும் பதிவு செய்யும் ஒரு பிழைத்திருத்த ப்ராக்ஸி ஆகும். இந்த ட்ராஃபிக்கை ஆராயவும், பிரேக் பாயின்ட்களை அமைக்கவும் மற்றும் உள்வரும் அல்லது வெளிச்செல்லும் தரவைக் கொண்டு "ப்ளே" செய்யவும் உங்களை அனுமதிக்கிறது.
இயற்கையாகவே, ஒவ்வொரு பென்டெஸ்டருக்கும் அவரவர் ஆயுதக் களஞ்சியம் மற்றும் அவரது சொந்த பயன்பாடுகள் உள்ளன, ஏனெனில் அவற்றில் நிறைய உள்ளன. நான் மிகவும் வசதியான மற்றும் பிரபலமான சிலவற்றை பட்டியலிட முயற்சித்தேன். ஆனால் இந்த திசையில் உள்ள பிற பயன்பாடுகளுடன் எவரும் தங்களைப் பழக்கப்படுத்திக்கொள்ள, நான் கீழே இணைப்புகளை வழங்குகிறேன்.
ஸ்கேனர்கள் மற்றும் பயன்பாடுகளின் பல்வேறு டாப்ஸ்/லிஸ்ட்கள்
UPD: பர்ப்சூட் ஆவணம் "Hack4Sec" குழுவிலிருந்து ரஷ்ய மொழியில் (சேர்க்கப்பட்டது அன்டன் குஸ்மின்)
பி.எஸ். XSpider பற்றி நாம் அமைதியாக இருக்க முடியாது. ஷேர்வேர் என்றாலும், மதிப்பாய்வில் பங்கேற்கவில்லை (நான் கட்டுரையை SecLab க்கு அனுப்பியபோது கண்டுபிடித்தேன், உண்மையில் இதன் காரணமாக (அறிவு அல்ல, சமீபத்திய பதிப்பு 7.8 இல்லாமை) மற்றும் அதை கட்டுரையில் சேர்க்கவில்லை). கோட்பாட்டில், அதன் மதிப்பாய்வு திட்டமிடப்பட்டது (அதற்கு கடினமான சோதனைகள் தயார் செய்யப்பட்டுள்ளன), ஆனால் உலகம் அதைப் பார்க்குமா என்று எனக்குத் தெரியவில்லை.
பி.பி.எஸ். கட்டுரையில் உள்ள சில உள்ளடக்கங்கள் அதன் நோக்கத்திற்காக வரவிருக்கும் அறிக்கையில் பயன்படுத்தப்படும் கோட்ஃபெஸ்ட் 2012 QA பிரிவில், இங்கே குறிப்பிடப்படாத கருவிகள் (இலவசம், நிச்சயமாக), அத்துடன் அல்காரிதம், எந்த வரிசையில் எதைப் பயன்படுத்த வேண்டும், என்ன முடிவு எதிர்பார்க்க வேண்டும், என்ன உள்ளமைவுகளைப் பயன்படுத்த வேண்டும் மற்றும் அனைத்து வகையான குறிப்புகள் மற்றும் தந்திரங்கள் எப்போது வேலை (அறிக்கையைப் பற்றி நான் ஒவ்வொரு நாளும் நினைக்கிறேன், தலைப்பு தலைப்பைப் பற்றி உங்களுக்குச் சொல்ல முயற்சிப்பேன்)
மூலம், இந்த கட்டுரையில் ஒரு பாடம் இருந்தது InfoSec நாட்களைத் திறக்கவும் (ஹப்ரே மீது குறிச்சொல், வலைத்தளத்தில்), முடியும் கொரோவான்களை கொள்ளையடிக்கவும் பாருங்கள் பொருட்கள்.