เมื่อก่อนฉันเขียนถึง
เครื่องมือ Pentester ของแอปพลิเคชันบนเว็บฟรี
ในบทความนี้ ฉันจะพูดถึงเครื่องมือยอดนิยมสำหรับการทดสอบการเจาะ (การทดสอบการเจาะ) ของเว็บแอปพลิเคชันโดยใช้กลยุทธ์ "กล่องดำ"
ในการดำเนินการนี้ เราจะดูที่โปรแกรมอรรถประโยชน์ที่จะช่วยในการทดสอบประเภทนี้ พิจารณาหมวดหมู่ผลิตภัณฑ์ต่อไปนี้:
- เครื่องสแกนเครือข่าย
- เครื่องสแกนการละเมิดสคริปต์เว็บ
- การแสวงหาผลประโยชน์
- ระบบอัตโนมัติของการฉีด
- โปรแกรมแก้ไขข้อบกพร่อง (ดมกลิ่น พร็อกซีในเครื่อง ฯลฯ)
ผลิตภัณฑ์บางอย่างมี "ลักษณะเฉพาะ" ที่เป็นสากล ดังนั้นฉันจะจัดประเภทผลิตภัณฑ์เหล่านั้นตามหมวดหมู่ที่ผลิตภัณฑ์เหล่านั้นมีоผลลัพธ์ที่ดีกว่า (ความเห็นส่วนตัว)
เครื่องสแกนเครือข่าย
ภารกิจหลักคือการค้นหาบริการเครือข่ายที่มีอยู่ ติดตั้งเวอร์ชัน กำหนดระบบปฏิบัติการ ฯลฯ
nmap
นี่ไม่ใช่แค่สแกนเนอร์ "อัจฉริยะ" เท่านั้น แต่ยังเป็นเครื่องมือที่สามารถขยายได้อย่างจริงจัง (หนึ่งใน "คุณสมบัติที่ผิดปกติ" คือการมีสคริปต์สำหรับตรวจสอบโหนดว่ามีเวิร์มอยู่หรือไม่ "
nmap -A -T4 localhost
-A สำหรับการตรวจจับเวอร์ชันระบบปฏิบัติการ การสแกนสคริปต์ และการติดตาม
-T4 การตั้งค่าการควบคุมเวลา (มากขึ้นเร็วขึ้นจาก 0 ถึง 5)
localhost - โฮสต์เป้าหมาย
มีอะไรที่ยากกว่านี้ไหม?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
นี่คือชุดตัวเลือกจากโปรไฟล์ "การสแกนแบบครอบคลุมช้า" ใน Zenmap ใช้เวลาค่อนข้างนานในการดำเนินการให้เสร็จสิ้น แต่ท้ายที่สุดก็ให้ข้อมูลโดยละเอียดเพิ่มเติมที่สามารถพบได้เกี่ยวกับระบบเป้าหมาย
Nmap ได้รับสถานะ "ผลิตภัณฑ์ด้านความปลอดภัยแห่งปี" จากนิตยสารและชุมชนต่างๆ เช่น Linux Journal, Info World, LinuxQuestions.Org และ Codetalker Digest
จุดที่น่าสนใจคือ Nmap สามารถพบเห็นได้ในภาพยนตร์เรื่อง “The Matrix Reloaded”, “Die Hard 4”, “The Bourne Ultimatum”, “Hottabych” และ
IP-เครื่องมือ
เครื่องสแกนพอร์ต, ทรัพยากรที่ใช้ร่วมกัน (เครื่องพิมพ์/โฟลเดอร์ที่ใช้ร่วมกัน), WhoIs/Finger/Lookup, ไคลเอ็นต์ Telnet และอื่นๆ อีกมากมาย เป็นเพียงเครื่องมือที่สะดวก รวดเร็ว และใช้งานได้จริง
ไม่มีประเด็นเฉพาะในการพิจารณาผลิตภัณฑ์อื่นๆ เนื่องจากมียูทิลิตี้มากมายในพื้นที่นี้ และทั้งหมดก็มีหลักการทำงานและฟังก์ชันการทำงานที่คล้ายคลึงกัน ถึงกระนั้น nmap ยังคงถูกใช้บ่อยที่สุด
เครื่องสแกนการละเมิดสคริปต์เว็บ
พยายามค้นหาช่องโหว่ยอดนิยม (SQL inj, XSS, LFI/RFI ฯลฯ) หรือข้อผิดพลาด (ไม่ได้ลบไฟล์ชั่วคราว การทำดัชนีไดเร็กทอรี ฯลฯ)
เครื่องสแกนช่องโหว่ของเว็บ Acunetix
Nikto
นอกจากนี้ หากพบสคริปต์ยอดนิยม มันจะตรวจสอบหาช่องโหว่ที่เผยแพร่ (ซึ่งอยู่ในฐานข้อมูล)
รายงานวิธีการที่ "ไม่พึงประสงค์" ที่มีอยู่ เช่น PUT และ TRACE
และอื่นๆ จะสะดวกมากถ้าคุณทำงานเป็นผู้ตรวจสอบบัญชีและวิเคราะห์เว็บไซต์ทุกวัน
ในบรรดาข้อเสีย ฉันต้องการสังเกตเปอร์เซ็นต์ผลบวกลวงที่สูง ตัวอย่างเช่น หากไซต์ของคุณแสดงข้อผิดพลาดหลักเสมอแทนที่จะเป็นข้อผิดพลาด 404 (เมื่อควรเกิดขึ้น) เครื่องสแกนจะบอกว่าไซต์ของคุณมีสคริปต์ทั้งหมดและช่องโหว่ทั้งหมดจากฐานข้อมูล ในทางปฏิบัติสิ่งนี้ไม่ได้เกิดขึ้นบ่อยนัก แต่ตามความเป็นจริงแล้ว หลายอย่างขึ้นอยู่กับโครงสร้างของไซต์ของคุณ
การใช้งานแบบคลาสสิก:
./nikto.pl -host localhost
หากคุณจำเป็นต้องได้รับอนุญาตบนไซต์ คุณสามารถตั้งค่าคุกกี้ในไฟล์ nikto.conf ซึ่งเป็นตัวแปร STATIC-COOKIE
วิคโต
ปลาสลิดฟิช
การใช้งานทั่วไป:
ในโฟลเดอร์ “รายงาน” จะมีรายงานในรูปแบบ html
w3af
คุณสามารถพูดคุยเกี่ยวกับข้อดีของมันได้เป็นเวลานาน ลองใช้ดูดีกว่า :] งานทั่วไปเกี่ยวกับการเลือกโปรไฟล์ การกำหนดเป้าหมาย และในความเป็นจริง การเปิดตัว
กรอบความปลอดภัยมันตรา
มีประโยชน์มากเมื่อทดสอบแอปพลิเคชันเว็บในทุกขั้นตอน
การใช้งานขึ้นอยู่กับการติดตั้งและเปิดใช้งานเบราว์เซอร์
ในความเป็นจริงมียูทิลิตี้มากมายในหมวดหมู่นี้และค่อนข้างยากที่จะเลือกรายการเฉพาะจากพวกเขา ส่วนใหญ่แล้ว Pentester แต่ละคนจะกำหนดชุดเครื่องมือที่เขาต้องการ
การแสวงหาผลประโยชน์
สำหรับการแสวงหาประโยชน์จากช่องโหว่โดยอัตโนมัติและสะดวกยิ่งขึ้น การหาประโยชน์จะถูกเขียนในซอฟต์แวร์และสคริปต์ ซึ่งจำเป็นต้องส่งผ่านพารามิเตอร์เท่านั้นเพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย และมีผลิตภัณฑ์ที่ขจัดความจำเป็นในการค้นหาช่องโหว่ด้วยตนเองและยังนำไปใช้ได้ทันทีอีกด้วย ตอนนี้จะมีการหารือเกี่ยวกับหมวดหมู่นี้
กรอบ Metasploit
หรือเราสามารถทำให้การดำเนินการตามช่องโหว่ที่เราต้องการเป็นไปโดยอัตโนมัติ เช่น:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
ที่จริงแล้ว ความสามารถของเฟรมเวิร์กนี้กว้างขวางมาก ดังนั้น หากคุณตัดสินใจที่จะเจาะลึกลงไปอีก ให้ไปที่
มาร์ติน
แคสต์หน้าจอ:
เทนาเบิล เนสซัส®
ใช้:
- ดาวน์โหลดแล้ว (สำหรับระบบของคุณ) ติดตั้ง ลงทะเบียน (รหัสจะถูกส่งไปยังอีเมลของคุณ)
- เริ่มต้นเซิร์ฟเวอร์ เพิ่มผู้ใช้ไปยัง Nessus Server Manager (ปุ่มจัดการผู้ใช้)
- เราไปที่ที่อยู่
https://localhost:8834/
และรับไคลเอนต์แฟลชในเบราว์เซอร์
- สแกน -> เพิ่ม -> กรอกข้อมูลในช่อง (โดยเลือกโปรไฟล์การสแกนที่เหมาะกับเรา) แล้วคลิกสแกน
หลังจากนั้นครู่หนึ่ง รายงานการสแกนจะปรากฏในแท็บรายงาน
หากต้องการตรวจสอบช่องโหว่ในทางปฏิบัติของบริการเพื่อหาช่องโหว่ คุณสามารถใช้ Metasploit Framework ที่อธิบายไว้ข้างต้น หรือลองค้นหาช่องโหว่ (ตัวอย่างเช่น
IMHO: ใหญ่เกินไป ฉันนำเขามาเป็นหนึ่งในผู้นำในทิศทางของอุตสาหกรรมซอฟต์แวร์นี้
ระบบอัตโนมัติของการฉีด
เครื่องสแกนวินาทีของเว็บแอปจำนวนมากค้นหาการฉีด แต่ก็ยังเป็นเพียงสแกนเนอร์ทั่วไป และมีระบบสาธารณูปโภคที่เกี่ยวข้องกับการค้นหาและใช้ประโยชน์จากการฉีดโดยเฉพาะ เราจะพูดถึงพวกเขาตอนนี้
sqlmap
การใช้งานทั่วไปมีดังต่อไปนี้:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
มีคู่มือเพียงพอรวมถึงภาษารัสเซียด้วย ซอฟต์แวร์นี้ช่วยอำนวยความสะดวกในการทำงานของเพนเทอร์อย่างมากเมื่อทำงานในพื้นที่นี้
ฉันจะเพิ่มวิดีโอสาธิตอย่างเป็นทางการ:
bsqlbf-v2
ฐานข้อมูลที่รองรับ:
- MS-SQL
- MySQL
- PostgreSQL
- คำพยากรณ์
ตัวอย่างการใช้งาน:
-URL
- คุณตาบอด — พารามิเตอร์สำหรับการฉีด (โดยค่าเริ่มต้นอันสุดท้ายจะถูกนำมาจากแถบที่อยู่)
-sql "เลือก table_name จาก imformation_schema.tables จำกัด 1 ออฟเซ็ต 0" — คำขอโดยพลการของเราไปยังฐานข้อมูล
-ฐานข้อมูล 1 — เซิร์ฟเวอร์ฐานข้อมูล: MSSQL
-ประเภทที่ 1 — ประเภทของการโจมตี การแทรกแบบ "blind" ตามการตอบสนอง True และ Error (เช่น ข้อผิดพลาดทางไวยากรณ์)
ดีบักเกอร์
เครื่องมือเหล่านี้ส่วนใหญ่จะใช้โดยนักพัฒนาเมื่อมีปัญหากับผลลัพธ์ของการรันโค้ด แต่ทิศทางนี้ยังมีประโยชน์สำหรับการเพนเทสต์ เมื่อเราสามารถแทนที่ข้อมูลที่เราต้องการได้ทันที วิเคราะห์สิ่งที่ตอบสนองต่อพารามิเตอร์อินพุตของเรา (เช่น ในระหว่างการฟัซซิ่ง) เป็นต้น
เรอ สวีท
เวอร์ชันฟรีประกอบด้วย:
- Burp Proxy เป็นพร็อกซีในเครื่องที่ให้คุณแก้ไขคำขอที่สร้างไว้แล้วจากเบราว์เซอร์
- Burp Spider - สไปเดอร์ ค้นหาไฟล์และไดเร็กทอรีที่มีอยู่
- Burp Repeater - ส่งคำขอ HTTP ด้วยตนเอง
- Burp Sequencer - วิเคราะห์ค่าสุ่มในรูปแบบ
- Burp Decoder เป็นโปรแกรมเข้ารหัส-ถอดรหัสมาตรฐาน (html, base64, hex ฯลฯ) ซึ่งมีหลายพันแบบ ซึ่งสามารถเขียนได้อย่างรวดเร็วในภาษาใดก็ได้
- Burp Comparer - องค์ประกอบการเปรียบเทียบสตริง
โดยหลักการแล้ว แพ็คเกจนี้จะช่วยแก้ปัญหาเกือบทั้งหมดที่เกี่ยวข้องกับพื้นที่นี้
พู้ทำเล่น
นอกจากนี้ยังมี
ข้อสรุป
โดยธรรมชาติแล้ว Pentester แต่ละคนมีคลังแสงและชุดสาธารณูปโภคของตัวเองเนื่องจากมีอยู่มากมาย ฉันพยายามแสดงรายการที่สะดวกและเป็นที่นิยมที่สุด แต่เพื่อให้ทุกคนสามารถทำความคุ้นเคยกับยูทิลิตี้อื่น ๆ ในทิศทางนี้ได้ ฉันจะให้ลิงค์ด้านล่าง
ด้านบน/รายการสแกนเนอร์และยูทิลิตี้ต่างๆ
เครื่องมือรักษาความปลอดภัยและการแฮ็ก เครื่องมือรักษาความปลอดภัยเครือข่าย 100 อันดับแรก เครื่องสแกนช่องโหว่บนเว็บ 10 อันดับแรก .เครื่องสแกนช่องโหว่ 10 อันดับแรก OWASP เครื่องมือและยุทธวิธี 10 อันดับแรก เครื่องสแกนความปลอดภัยของแอปพลิเคชันบนเว็บ รายการสแกนเนอร์ความปลอดภัยของแอปพลิเคชันเว็บโดย WebAppSec ยูทิลิตี้ Infosec บนฟอรัม RDot เครื่องสแกนช่องโหว่ (Wikipedia)
ลีนุกซ์รุ่นที่มียูทิลิตี้เพนทดสอบต่างๆ มากมายอยู่แล้ว
UPD:
ป.ล. เราไม่สามารถนิ่งเงียบเกี่ยวกับ XSpider ได้ ไม่มีส่วนร่วมในการตรวจสอบแม้ว่าจะเป็นแชร์แวร์ (ฉันพบเมื่อฉันส่งบทความไปที่ SecLab จริง ๆ แล้วด้วยเหตุนี้ (ไม่ใช่ความรู้และขาดเวอร์ชันล่าสุด 7.8) และไม่ได้รวมไว้ในบทความ) และตามทฤษฎีแล้ว มีการวางแผนการทบทวนเรื่องนี้ไว้ (ฉันมีบททดสอบที่ยากลำบากเตรียมไว้ให้) แต่ฉันไม่รู้ว่าโลกจะได้เห็นหรือไม่
PPS เนื้อหาบางส่วนจากบทความนี้จะถูกนำมาใช้ตามวัตถุประสงค์ในรายงานฉบับต่อๆ ไป
โดยวิธีการนี้มีบทเรียนเกี่ยวกับบทความนี้ที่ เปิด InfoSec Days (
ที่มา: will.com