వాపిటి - ఒక సైట్ను స్వయంగా దుర్బలత్వాల కోసం తనిఖీ చేస్తోంది
గతం లో వ్యాసం మేము మాట్లాడాము నెమెసిడా WAF ఉచితం - హ్యాకర్ దాడుల నుండి వెబ్సైట్లు మరియు APIలను రక్షించడానికి ఒక ఉచిత సాధనం, మరియు ఇందులో మేము ప్రముఖ వల్నరబిలిటీ స్కానర్ని సమీక్షించాలని నిర్ణయించుకున్నాము వాపిటి.
దుర్బలత్వాల కోసం వెబ్సైట్ను స్కాన్ చేయడం అనేది అవసరమైన కొలత, ఇది సోర్స్ కోడ్ యొక్క విశ్లేషణతో పాటు, రాజీ బెదిరింపులకు వ్యతిరేకంగా దాని భద్రత స్థాయిని అంచనా వేయడానికి మిమ్మల్ని అనుమతిస్తుంది. మీరు ప్రత్యేక సాధనాలను ఉపయోగించి వెబ్ వనరును స్కాన్ చేయవచ్చు.
నిక్టో, W3af (పైథాన్ 2.7లో వ్రాయబడింది, దీనికి ఇకపై మద్దతు లేదు) లేదా అరాక్ని (ఫిబ్రవరి నుండి ఇకపై మద్దతు లేదు) ఉచిత విభాగంలో అందించబడిన అత్యంత ప్రజాదరణ పొందిన పరిష్కారాలు. వాస్తవానికి, ఇతరులు ఉన్నారు, ఉదాహరణకు, వాపిటి, మేము దృష్టి పెట్టాలని నిర్ణయించుకున్నాము.
Wapiti క్రింది రకాల దుర్బలత్వాలతో పని చేస్తుంది:
ఫైల్ విస్తరణ (స్థానిక మరియు రిమోట్, ఫోపెన్, రీడ్ఫైల్);
ఇంజెక్షన్లు (PHP / JSP / ASP / SQL ఇంజెక్షన్ మరియు XPath ఇంజెక్షన్);
XSS (క్రాస్ సైట్ స్క్రిప్టింగ్) (రిఫ్లెక్టివ్ మరియు పెర్సిస్టెంట్);
ఆదేశాలను గుర్తించడం మరియు అమలు చేయడం (eval(), system(), passtru());
అంతులేని స్కాన్ లూప్లకు వ్యతిరేకంగా బహుళ జాగ్రత్తలు (ఉదాహరణ: ifor, పరామితి కోసం విలువలను పరిమితం చేయడం);
URLలను పరిశీలించడానికి ప్రాధాన్యతను సెట్ చేసే సామర్థ్యం (అవి స్కానింగ్ ప్రాంతంలో లేకపోయినా);
స్కానింగ్ మరియు దాడుల నుండి కొన్ని URLలను మినహాయించే సామర్థ్యం (ఉదాహరణకు: URL లాగ్అవుట్);
కుకీలను దిగుమతి చేయండి (వాపిటి-గెట్కూకీ సాధనాన్ని ఉపయోగించి వాటిని పొందండి);
SSL సర్టిఫికేట్ ధృవీకరణను సక్రియం చేసే / నిష్క్రియం చేయగల సామర్థ్యం;
జావాస్క్రిప్ట్ నుండి URLలను సంగ్రహించే సామర్థ్యం (చాలా సులభమైన JS వ్యాఖ్యాత);
HTML5తో పరస్పర చర్య;
క్రాలర్ ప్రవర్తన మరియు పరిమితులను నిర్వహించడానికి అనేక ఎంపికలు;
స్కానింగ్ ప్రక్రియ కోసం గరిష్ట సమయాన్ని సెట్ చేయడం;
కొన్ని అనుకూల HTTP హెడర్లను జోడించడం లేదా అనుకూల వినియోగదారు ఏజెంట్ని సెటప్ చేయడం.
అదనపు లక్షణాలు:
వివిధ ఫార్మాట్లలో (HTML, XML, JSON, TXT) దుర్బలత్వ నివేదికలను సృష్టించడం;
స్కాన్ లేదా దాడిని పాజ్ చేయడం మరియు పునఃప్రారంభించడం (SQLite3 డేటాబేస్లను ఉపయోగించి సెషన్ మెకానిజం);
దుర్బలత్వాలను హైలైట్ చేయడానికి టెర్మినల్లో బ్యాక్లైటింగ్;
లాగింగ్ యొక్క వివిధ స్థాయిలు;
దాడి మాడ్యూల్లను సక్రియం చేయడానికి/క్రియారహితం చేయడానికి శీఘ్ర మరియు సులభమైన మార్గం.
సెట్టింగ్
Wapiti యొక్క ప్రస్తుత సంస్కరణను 2 మార్గాల్లో ఇన్స్టాల్ చేయవచ్చు:
అధికారిక నుండి మూలాన్ని డౌన్లోడ్ చేయండి వెబ్సైట్ మరియు మునుపు Python3ని ఇన్స్టాల్ చేసి, ఇన్స్టాలేషన్ స్క్రిప్ట్ను అమలు చేయండి;
pip3 install wapiti3 కమాండ్ ఉపయోగించి.
దీని తరువాత, వాపిటి వెళ్ళడానికి సిద్ధంగా ఉంటుంది.
సాధనంతో పని చేస్తోంది
Wapiti యొక్క పనిని ప్రదర్శించడానికి, మేము ప్రత్యేకంగా తయారు చేయబడిన స్టాండ్ sites.vulns.pentestit.ru (అంతర్గత వనరు), వివిధ దుర్బలత్వాలను (ఇంజెక్షన్, XSS, LFI/RFI) మరియు వెబ్ అప్లికేషన్ల ఇతర లోపాలను కలిగి ఉన్నాము.
సమాచారం సమాచార ప్రయోజనాల కోసం మాత్రమే అందించబడింది. చట్టాన్ని ఉల్లంఘించవద్దు!
స్కానర్ను ప్రారంభించేందుకు ప్రాథమిక ఆదేశం:
# wapiti -u <target> <options>
అదే సమయంలో, భారీ సంఖ్యలో ప్రయోగ ఎంపికలతో చాలా వివరణాత్మక సహాయం ఉంది, ఉదాహరణకు:
--పరిధి - అప్లికేషన్ ప్రాంతం
మీరు క్రాల్ URLతో పాటు స్కోప్ పరామితిని నిర్దేశిస్తే, మీరు ఒకే పేజీ మరియు సైట్లో కనుగొనగలిగే అన్ని పేజీలను పేర్కొనడం ద్వారా సైట్ యొక్క క్రాలింగ్ ప్రాంతాన్ని సర్దుబాటు చేయవచ్చు.
-s и -x — నిర్దిష్ట URLలను జోడించడానికి లేదా తీసివేయడానికి ఎంపికలు. క్రాల్ ప్రాసెస్ సమయంలో మీరు నిర్దిష్ట URLని జోడించాల్సిన లేదా తీసివేయవలసి వచ్చినప్పుడు ఈ ఎంపికలు ఉపయోగకరంగా ఉంటాయి.
--దాటవేయండి — ఈ కీతో పేర్కొన్న పరామితి స్కాన్ చేయబడుతుంది, కానీ దాడి చేయబడదు. స్కానింగ్ సమయంలో ఉత్తమంగా మినహాయించబడిన ఏవైనా ప్రమాదకరమైన పారామితులు ఉంటే ఉపయోగకరంగా ఉంటుంది.
--verify-ssl - సర్టిఫికేట్ ధృవీకరణను ప్రారంభించండి లేదా నిలిపివేయండి.
వాపిటి స్కానర్ మాడ్యులర్. అయితే, స్కానర్ రన్ అవుతున్నప్పుడు స్వయంచాలకంగా కనెక్ట్ చేయబడిన వాటితో సహా నిర్దిష్ట మాడ్యూళ్లను ప్రారంభించేందుకు, మీరు -m స్విచ్ని ఉపయోగించాలి మరియు కామాలతో వేరు చేసి మీకు అవసరమైన వాటిని జాబితా చేయాలి. కీ ఉపయోగించబడకపోతే, అన్ని మాడ్యూల్స్ డిఫాల్ట్గా పని చేస్తాయి. సరళమైన సంస్కరణలో ఇది ఇలా ఉంటుంది:
ఈ వినియోగ ఉదాహరణ అంటే లక్ష్యాన్ని స్కాన్ చేస్తున్నప్పుడు మేము SQL, XSS మరియు XXE మాడ్యూల్లను మాత్రమే ఉపయోగిస్తాము. అదనంగా, మీరు కావలసిన పద్ధతిని బట్టి మాడ్యూల్స్ యొక్క ఆపరేషన్ను ఫిల్టర్ చేయవచ్చు. ఉదాహరణకి -m “xss: get, blindsql: పోస్ట్, xxe: పోస్ట్”. ఈ సందర్భంలో, మాడ్యూల్ XSS GET పద్ధతి మరియు మాడ్యూల్ ఉపయోగించి పంపిన అభ్యర్థనలకు వర్తిస్తుంది blibdsql - అభ్యర్థనలను పోస్ట్ చేయడానికి, మొదలైనవి. మార్గం ద్వారా, స్కానింగ్ సమయంలో జాబితాలో చేర్చబడిన కొన్ని మాడ్యూల్ అవసరం లేకుంటే లేదా చాలా సమయం తీసుకుంటే, Ctrl+C కలయికను నొక్కడం ద్వారా మీరు ఇంటరాక్టివ్ మెనులో సంబంధిత అంశాన్ని ఎంచుకోవడం ద్వారా ప్రస్తుత మాడ్యూల్ని ఉపయోగించకుండా దాటవేయవచ్చు.
కీని ఉపయోగించి ప్రాక్సీ ద్వారా అభ్యర్థనలను పంపడానికి Wapiti మద్దతు ఇస్తుంది -p మరియు పారామీటర్ ద్వారా లక్ష్య సైట్లో ప్రమాణీకరణ -a. మీరు ప్రమాణీకరణ రకాన్ని కూడా పేర్కొనవచ్చు: ప్రాథమిక, డైజెస్ట్, Kerberos и ntlm. చివరి రెండు అదనపు మాడ్యూల్స్ యొక్క సంస్థాపన అవసరం కావచ్చు. అదనంగా, మీరు ఏదైనా హెడర్లను అభ్యర్థనలలోకి చొప్పించవచ్చు (ఏకపక్షంతో సహా యూజర్-ఏజెంట్) ఇవే కాకండా ఇంకా.
ప్రమాణీకరణను ఉపయోగించడానికి మీరు సాధనాన్ని ఉపయోగించవచ్చు వాపిటి-గెట్కూకీ. దాని సహాయంతో మేము ఏర్పరుస్తాము కుకీ, స్కాన్ చేస్తున్నప్పుడు వాపిటి ఉపయోగించబడుతుంది. నిర్మాణం కుకీ ఆదేశంతో పూర్తయింది:
స్కానర్ యొక్క ప్రధాన కార్యాచరణను పరిశీలిస్తున్నప్పుడు, మా విషయంలో వెబ్ అప్లికేషన్ను పరీక్షించడానికి చివరి అభ్యర్థన:
# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128
ఇతర పారామితులతో పాటు:
-f и -o - నివేదికను సేవ్ చేయడానికి ఫార్మాట్ మరియు మార్గం;
-m — అన్ని మాడ్యూళ్లను కనెక్ట్ చేయడం సిఫారసు చేయబడలేదు, ఎందుకంటే పరీక్ష సమయం మరియు నివేదిక పరిమాణాన్ని ప్రభావితం చేస్తుంది;
--రంగు - వాపిటి ప్రకారం వాటి క్లిష్టతను బట్టి కనుగొనబడిన దుర్బలత్వాలను హైలైట్ చేయండి;
-c - తో ఫైల్ని ఉపయోగించడం కుకీ, ఉపయోగించి రూపొందించబడింది వాపిటి-గెట్కూకీ;
--పరిధి - దాడికి లక్ష్యాన్ని ఎంచుకోవడం. ఒక ఎంపికను ఎంచుకోవడం ఫోల్డర్ బేస్ వన్తో ప్రారంభించి ప్రతి URL క్రాల్ చేయబడుతుంది మరియు దాడి చేయబడుతుంది. బేస్ URL తప్పనిసరిగా ఫార్వర్డ్ స్లాష్ని కలిగి ఉండాలి (ఫైల్ పేరు లేదు);
--ఫ్లష్-సెషన్ - పునరావృత స్కానింగ్ కోసం అనుమతిస్తుంది, దీనిలో మునుపటి ఫలితాలు పరిగణనలోకి తీసుకోబడవు;
-A - స్వంతం యూజర్-ఏజెంట్;
-p - అవసరమైతే ప్రాక్సీ సర్వర్ చిరునామా.
నివేదిక గురించి కొంచెం
స్కానింగ్ ఫలితం HTML పేజీ ఆకృతిలో కనుగొనబడిన అన్ని దుర్బలత్వాలపై వివరణాత్మక నివేదిక రూపంలో స్పష్టంగా మరియు సులభంగా చదవగలిగే రూపంలో ప్రదర్శించబడుతుంది. నివేదిక కేటగిరీలు మరియు కనుగొనబడిన దుర్బలత్వాల సంఖ్య, వాటి వివరణలు, అభ్యర్థనలు, ఆదేశాలను సూచిస్తుంది కర్ల్ మరియు వాటిని ఎలా మూసివేయాలనే దానిపై చిట్కాలు. నావిగేషన్ సౌలభ్యం కోసం, వర్గం పేర్లకు లింక్ జోడించబడుతుంది, దానిపై క్లిక్ చేయడం ద్వారా మీరు దానికి వెళ్లవచ్చు:
నివేదిక యొక్క ముఖ్యమైన ప్రతికూలత ఏమిటంటే, వెబ్ అప్లికేషన్ మ్యాప్ లేకపోవడం, ఇది లేకుండా అన్ని చిరునామాలు మరియు పారామీటర్లు విశ్లేషించబడ్డాయో లేదో స్పష్టంగా తెలియదు. తప్పుడు పాజిటివ్లు వచ్చే అవకాశం కూడా ఉంది. మా విషయంలో, నివేదికలో “బ్యాకప్ ఫైల్లు” మరియు “ప్రమాదకరమైన ఫైల్లు” ఉన్నాయి. సర్వర్లో అటువంటి ఫైల్లు లేనందున వాటి సంఖ్య వాస్తవికతకు అనుగుణంగా లేదు:
బహుశా తప్పుగా పని చేసే మాడ్యూల్స్ కాలక్రమేణా పరిష్కరించబడతాయి. నివేదిక యొక్క మరొక లోపం ఏమిటంటే, కనుగొనబడిన దుర్బలత్వాలకు రంగులు వేయకపోవడం (వాటి విమర్శనాత్మకతను బట్టి), లేదా కనీసం వాటిని వర్గాలుగా విభజించడం. కనుగొనబడిన దుర్బలత్వం యొక్క క్లిష్టతను మనం పరోక్షంగా అర్థం చేసుకునే ఏకైక మార్గం పరామితిని ఉపయోగించడం --రంగు స్కానింగ్ సమయంలో, ఆపై కనుగొనబడిన దుర్బలత్వాలు వివిధ రంగులలో రంగులు వేయబడతాయి:
కానీ నివేదిక స్వయంగా అలాంటి రంగులను అందించలేదు.
దుర్బలత్వాలు
SQLi
స్కానర్ SQLi శోధనను పాక్షికంగా ఎదుర్కొంది. ప్రమాణీకరణ అవసరం లేని పేజీలలో SQL దుర్బలత్వాల కోసం శోధిస్తున్నప్పుడు, సమస్యలు తలెత్తవు:
చెల్లుబాటును ఉపయోగించి కూడా ప్రామాణీకరణ తర్వాత మాత్రమే యాక్సెస్ చేయగల పేజీలలో దుర్బలత్వాన్ని కనుగొనడం సాధ్యం కాదు కుకీ, చాలా మటుకు విజయవంతమైన ప్రామాణీకరణ తర్వాత, వారి సెషన్ "లాగ్ అవుట్" చేయబడుతుంది మరియు కుకీ చెల్లదు. ఈ విధానాన్ని ప్రాసెస్ చేయడానికి బాధ్యత వహించే ప్రత్యేక స్క్రిప్ట్గా డీఆథరైజేషన్ ఫంక్షన్ అమలు చేయబడితే, -x పరామితి ద్వారా దాన్ని పూర్తిగా మినహాయించడం సాధ్యమవుతుంది మరియు తద్వారా దానిని ట్రిగ్గర్ చేయకుండా నిరోధించవచ్చు. లేకపోతే, దాని ప్రాసెసింగ్ను మినహాయించడం సాధ్యం కాదు. ఇది నిర్దిష్ట మాడ్యూల్తో సమస్య కాదు, కానీ మొత్తం సాధనంతో, కానీ ఈ స్వల్పభేదం కారణంగా, క్లోజ్డ్ రిసోర్స్ ప్రాంతంలో అనేక ఇంజెక్షన్లను గుర్తించడం సాధ్యం కాదు.
XSS
స్కానర్ ఇచ్చిన పనిని సంపూర్ణంగా ఎదుర్కొంది మరియు సిద్ధం చేసిన అన్ని దుర్బలత్వాలను కనుగొంది:
LFI/RFI
స్కానర్ అన్ని అంతర్లీన బలహీనతలను కనుగొంది:
సాధారణంగా, తప్పుడు పాజిటివ్లు మరియు తప్పిపోయిన దుర్బలత్వాలు ఉన్నప్పటికీ, వాపిటి, ఉచిత సాధనంగా, మంచి పనితీరు ఫలితాలను చూపుతుంది. ఏది ఏమైనప్పటికీ, స్కానర్ చాలా శక్తివంతమైనది, అనువైనది మరియు మల్టిఫంక్షనల్ అని గుర్తించడం విలువ, మరియు ముఖ్యంగా, ఇది ఉచితం, కాబట్టి వెబ్ యొక్క భద్రతా స్థితి గురించి ప్రాథమిక సమాచారాన్ని పొందడంలో నిర్వాహకులు మరియు డెవలపర్లకు సహాయం చేయడంలో దీనిని ఉపయోగించే హక్కు ఉంది. అప్లికేషన్.