Bir muncha vaqt oldin men yozgan edim , lekin bir oz nochor va xaotik. Shundan so'ng, men sharhdagi vositalar ro'yxatini kengaytirishga, maqolaga tuzilma qo'shishga va tanqidni hisobga olishga qaror qildim (katta rahmat) maslahat uchun) va uni SecLab-dagi tanlovga yubordi (va nashr etdi , lekin barcha aniq sabablarga ko'ra uni hech kim ko'rmagan). Tanlov tugadi, natijalar e'lon qilindi va men buni (maqolani) Habré-da e'lon qilishim mumkin.
Bepul veb-ilova Pentester vositalari
Ushbu maqolada men "qora quti" strategiyasidan foydalangan holda veb-ilovalarni pentesting (penetratsiya testlari) uchun eng mashhur vositalar haqida gapiraman.
Buning uchun biz ushbu turdagi testlarga yordam beradigan yordamchi dasturlarni ko'rib chiqamiz. Quyidagi mahsulot toifalarini ko'rib chiqing:
- Tarmoq skanerlari
- Veb-skriptni buzish skanerlari
- Ekspluatatsiya
- Inyeksiyalarni avtomatlashtirish
- Nosozliklarni tuzatuvchilar (snifferlar, mahalliy proksi-serverlar va boshqalar)
Ba'zi mahsulotlar universal "belgi" ga ega, shuning uchun men ularni qaysi toifaga ajratamanоyaxshi natija (sub'ektiv fikr).
Tarmoq skanerlari.
Asosiy vazifa - mavjud tarmoq xizmatlarini aniqlash, ularning versiyalarini o'rnatish, operatsion tizimni aniqlash va hokazo.
Nmap
tarmoq tahlili va tizim xavfsizligi auditi uchun bepul va ochiq manbali yordamchi dasturdir. Konsolning zo'ravon raqiblari Nmap uchun GUI bo'lgan Zenmap-dan foydalanishlari mumkin.
Bu shunchaki "aqlli" skaner emas, bu jiddiy kengaytiriladigan vositadir ("g'ayrioddiy xususiyatlardan biri" tugunni qurt borligini tekshirish uchun skriptning mavjudligi ""(zikr etilgan ). Oddiy foydalanish misoli:
nmap -A -T4 localhost
-OS versiyasini aniqlash, skriptni skanerlash va kuzatish uchun
-T4 vaqtni boshqarish sozlamalari (ko'proq tezroq, 0 dan 5 gacha)
localhost - maqsadli xost
Qattiqroq narsami?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Bu Zenmap-dagi "sekin keng qamrovli skanerlash" profilidagi variantlar to'plami. To'ldirish uchun ancha vaqt talab etiladi, lekin oxir-oqibat maqsadli tizim haqida bilib olish mumkin bo'lgan batafsil ma'lumotlarni taqdim etadi. , agar siz chuqurroq borishga qaror qilsangiz, men ham maqolani tarjima qilishni maslahat beraman .
Nmap Linux Journal, Info World, LinuxQuestions.Org va Codetalker Digest kabi jurnallar va hamjamiyatlardan "Yilning xavfsizlik mahsuloti" maqomini oldi.
Qizig'i shundaki, Nmapni "Matrisa qayta yuklangan", "Die Hard 4", "Bourne Ultimatum", "Hottabych" filmlarida ko'rish mumkin. .
IP vositalari
- Windows foydalanuvchilari uchun "bag'ishlangan" GUI bilan birga keladigan turli xil tarmoq yordam dasturlari to'plami.
Port skaneri, umumiy resurslar (umumiy printerlar/papkalar), WhoIs/Finger/Lookup, telnet mijozi va boshqalar. Faqat qulay, tezkor va funktsional vosita.
Boshqa mahsulotlarni ko'rib chiqishning alohida ma'nosi yo'q, chunki bu sohada ko'plab yordamchi dasturlar mavjud va ularning barchasi o'xshash ishlash tamoyillari va funksionalligiga ega. Shunga qaramay, nmap eng ko'p ishlatiladigan bo'lib qolmoqda.
Veb-skriptni buzish skanerlari
Ommabop zaifliklarni (SQL inj, XSS, LFI/RFI va boshqalar) yoki xatolarni (o'chirilmagan vaqtinchalik fayllar, kataloglarni indekslash va boshqalar) topishga urinish.
Acunetix veb -zaiflik skaneri
— havoladan bu xss skaneri ekanligini ko'rishingiz mumkin, ammo bu mutlaqo to'g'ri emas. Bu erda mavjud bo'lgan bepul versiya juda ko'p funksiyalarni taqdim etadi. Odatda, ushbu skanerni birinchi marta ishga tushirgan va o'z resursi haqida birinchi marta hisobot olgan odam engil zarbani boshdan kechiradi va nima uchun buni qilganingizdan keyin tushunasiz. Bu veb-saytdagi barcha turdagi zaifliklarni tahlil qilish uchun juda kuchli mahsulot bo'lib, nafaqat odatiy PHP veb-saytlari bilan, balki boshqa tillarda ham ishlaydi (garchi tildagi farq ko'rsatkich emas). Ko'rsatmalarni tavsiflashning alohida ma'nosi yo'q, chunki skaner shunchaki foydalanuvchining harakatlarini "ko'taradi". Oddiy dasturiy ta'minotni o'rnatishda "keyingi, keyingi, keyingi, tayyor" ga o'xshash narsa.
Nikto
Bu Open Source (GPL) veb-brauzeri. Muntazam qo'lda ishlashni yo'q qiladi. Maqsadli saytni o'chirilmagan skriptlarni (ba'zi test.php, index_.php va boshqalar), ma'lumotlar bazasini boshqarish vositalarini (/phpmyadmin/, /pma va shunga o'xshash) qidiradi, ya'ni resursda eng ko'p uchraydigan xatolarni tekshiradi. Odatda inson omillari sabab bo'ladi.
Bundan tashqari, agar u mashhur skriptni topsa, uni chiqarilgan ekspluatatsiyalar uchun tekshiradi (ular ma'lumotlar bazasida).
PUT va TRACE kabi mavjud "keraksiz" usullar haqida xabar beradi
Va hokazo. Agar siz auditor sifatida ishlasangiz va har kuni veb-saytlarni tahlil qilsangiz, bu juda qulay.
Kamchiliklardan men noto'g'ri pozitivlarning yuqori foizini ta'kidlamoqchiman. Misol uchun, agar sizning saytingiz har doim 404 xatosi o'rniga asosiy xatoni bersa (u qachon sodir bo'lishi kerak), u holda skaner sizning saytingizda barcha skriptlar va ma'lumotlar bazasidagi barcha zaifliklarni o'z ichiga olganligini aytadi. Amalda, bu tez-tez sodir bo'lmaydi, lekin aslida ko'p narsa saytingiz tuzilishiga bog'liq.
Klassik foydalanish:
./nikto.pl -host localhost
Agar siz saytda avtorizatsiyaga ega bo'lishingiz kerak bo'lsa, siz STATIC-COOKIE o'zgaruvchisi bo'lgan nikto.conf faylida cookie faylini o'rnatishingiz mumkin.
Wikto
— Windows uchun Nikto, lekin ba'zi qo'shimchalar bilan, masalan, xatolar uchun kodni tekshirishda "loyqa" mantiq, GHDB-dan foydalanish, havolalar va resurs papkalarini olish, HTTP so'rovlari/javoblarini real vaqtda monitoring qilish. Wikto C# tilida yozilgan va .NET ramkasini talab qiladi.
skipfish
- veb zaiflik skaneri (lcamtuf nomi bilan tanilgan). C-da yozilgan, kross-platforma (Win uchun Cygwin talab qilinadi). Rekursiv ravishda (va juda uzoq vaqt davomida, taxminan 20 ~ 40 soat, garchi u men uchun oxirgi marta 96 soat ishlagan bo'lsa ham) u butun saytni ko'zdan kechiradi va har xil xavfsizlik teshiklarini topadi. Bundan tashqari, u juda ko'p trafik hosil qiladi (bir necha GB kirish/chiqish). Ammo barcha vositalar yaxshi, ayniqsa vaqt va resurslaringiz bo'lsa.
Oddiy foydalanish:
./skipfish -o /home/reports www.example.com
"Hisobotlar" papkasida html-da hisobot bo'ladi, .
w3af
— Web Application Attack and Audit Framework, ochiq manbali veb zaiflik skaneri. Unda GUI bor, lekin siz konsoldan ishlashingiz mumkin. Aniqrog'i, bu bilan ramka .
Siz uning afzalliklari haqida uzoq vaqt gapirishingiz mumkin, uni sinab ko'rish yaxshiroqdir:] U bilan odatiy ish profil tanlash, maqsadni belgilash va aslida uni ishga tushirishdan iborat.
Mantra xavfsizlik asoslari
ushalgan orzudir. Veb-brauzerga o'rnatilgan bepul va ochiq axborot xavfsizligi vositalari to'plami.
Veb-ilovalarni barcha bosqichlarda sinab ko'rishda juda foydali.
Foydalanish brauzerni o'rnatish va ishga tushirishdan iborat.
Aslida, ushbu turkumda ko'plab yordamchi dasturlar mavjud va ulardan ma'lum bir ro'yxatni tanlash juda qiyin. Ko'pincha, har bir pentester o'zi kerakli vositalar to'plamini belgilaydi.
Ekspluatatsiya
Zaifliklardan avtomatlashtirilgan va qulayroq foydalanish uchun ekspluatatsiyalar dasturiy ta'minot va skriptlarda yoziladi, ular faqat xavfsizlik teshigidan foydalanish uchun parametrlardan o'tishlari kerak. Va ekspluatatsiyalarni qo'lda qidirish zaruratini bartaraf etadigan va hatto ularni tezda qo'llaydigan mahsulotlar mavjud. Bu toifa endi muhokama qilinadi.
Metasploit Framework
- bizning biznesimizda qandaydir yirtqich hayvon. U shunchalik ko'p ish qila oladiki, ko'rsatmalar bir nechta maqolalarni qamrab oladi. Biz avtomatik ekspluatatsiyani ko'rib chiqamiz (nmap + metasploit). Xulosa shu: Nmap bizga kerak bo'lgan portni tahlil qiladi, xizmatni o'rnatadi va metasploit unga xizmat ko'rsatish sinfi (ftp, ssh va boshqalar) asosida ekspluatatsiyalarni qo'llashga harakat qiladi. Matnli ko'rsatmalar o'rniga men autopwn mavzusida juda mashhur bo'lgan videoni joylashtiraman
Yoki biz shunchaki kerakli ekspluatatsiyani avtomatlashtirishimiz mumkin. Masalan:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Aslida, ushbu ramkaning imkoniyatlari juda keng, shuning uchun agar siz chuqurroq borishga qaror qilsangiz,
Armitaj
— Metasploit uchun kiberpunk janridagi GUI OVA. Maqsadni vizualizatsiya qiladi, ekspluatatsiyalarni tavsiya qiladi va ramkaning ilg'or xususiyatlarini taqdim etadi. Umuman olganda, hamma narsa chiroyli va ta'sirli ko'rinishni yoqtiradiganlar uchun.
Skrinshot:
Mumkin Nessus®
- ko'p narsalarni qila oladi, ammo undan bizga kerak bo'lgan imkoniyatlardan biri bu qaysi xizmatlarning ekspluatatsiyalari borligini aniqlashdir. "Faqat uyda" mahsulotning bepul versiyasi
Foydalanish:
- Yuklab olingan (tizimingiz uchun), o'rnatilgan, ro'yxatdan o'tgan (kalit elektron pochtangizga yuboriladi).
- Serverni ishga tushirdi, foydalanuvchini Nessus Server Manager-ga qo'shdi (Foydalanuvchilarni boshqarish tugmasi)
- Biz manzilga boramiz
https://localhost:8834/
va brauzerda flesh-mijozni oling
- Skanerlar -> Qo'shish -> maydonlarni to'ldiring (bizga mos keladigan skanerlash profilini tanlash orqali) va Scan tugmasini bosing.
Biroz vaqt o'tgach, skanerlash hisoboti Hisobotlar ko'rinishida paydo bo'ladi
Xizmatlarning ekspluatatsiyalarga nisbatan amaliy zaifligini tekshirish uchun siz yuqorida tavsiflangan Metasploit Framework-dan foydalanishingiz yoki ekspluatatsiyani topishga harakat qilishingiz mumkin (masalan, , , va boshqalar) va uni qo'lda ishlatish uning tizimi
IMHO: juda katta. Men uni dasturiy ta'minot sanoatining ushbu yo'nalishidagi etakchilardan biri sifatida olib keldim.
Inyeksiyalarni avtomatlashtirish
Ko'pgina veb-ilovalar skanerlari in'ektsiyalarni qidiradi, ammo ular hali ham umumiy skanerlardir. Va inyeksiyalarni qidirish va ulardan foydalanish bilan shug'ullanadigan yordamchi dasturlar mavjud. Biz hozir ular haqida gaplashamiz.
sqlmap
— SQL inyeksiyalarini qidirish va ishlatish uchun ochiq manbali yordamchi dastur. MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB kabi ma'lumotlar bazasi serverlarini qo'llab-quvvatlaydi.
Odatiy foydalanish quyidagi chiziqqa to'g'ri keladi:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Qo‘llanmalar yetarlicha, jumladan, rus tilida ham mavjud. Ushbu sohada ishlashda dasturiy ta'minot pentester ishini sezilarli darajada osonlashtiradi.
Men rasmiy video namoyishini qo'shaman:
bsqlbf-v2
— Perl skripti, “koʻr” Sql inyeksiyalari uchun shafqatsiz kuch. U urldagi butun son qiymatlari bilan ham, satr qiymatlari bilan ham ishlaydi.
Ma'lumotlar bazasi qo'llab-quvvatlanadi:
- MS-SQL
- MySQL
- PostgreSQL
- Oracle
Foydalanish misoli:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url - Parametrlar bilan bog'lanish
-ko'r u — inyeksiya parametri (odatda oxirgisi manzil satridan olinadi)
-sql "imformation_schema.tables chegarasidan jadval_nomini tanlang 1 ofset 0" — maʼlumotlar bazasiga oʻzboshimchalik bilan soʻrovimiz
- ma'lumotlar bazasi 1 — maʼlumotlar bazasi serveri: MSSQL
- 1-tur — toʻgʻri va xato (masalan, sintaktik xatolar) javoblariga asoslangan hujum turi, “koʻr” inyeksiya
Nosozliklarni tuzatuvchilar
Ushbu vositalar asosan ishlab chiquvchilar tomonidan o'z kodlarini bajarish natijalari bilan bog'liq muammolar mavjud bo'lganda foydalaniladi. Ammo bu yo'nalish pentesting uchun ham foydalidir, chunki biz kerakli ma'lumotlarni tezda almashtirishimiz, kiritilgan parametrlarimizga javob beradigan narsalarni tahlil qilishimiz mumkin (masalan, fuzzing paytida) va hokazo.
Burp Suite
— penetratsion testlarda yordam beruvchi yordamchi dasturlar to'plami. Bu internetda Raz0r dan rus tilida (2008 yil uchun).
Bepul versiya quyidagilarni o'z ichiga oladi:
- Burp Proksi - bu brauzerdan allaqachon yaratilgan so'rovlarni o'zgartirish imkonini beruvchi mahalliy proksi-server
- Burp Spider - o'rgimchak, mavjud fayllar va kataloglarni qidiradi
- Burp Repeater - HTTP so'rovlarini qo'lda yuborish
- Burp Sequencer - shakllardagi tasodifiy qiymatlarni tahlil qilish
- Burp Decoder - bu standart kodlovchi-dekoder (html, base64, hex va boshqalar), ularning minglablari bor, ularni tezda istalgan tilda yozish mumkin.
- Burp Comparer - String taqqoslash komponenti
Asosan, ushbu paket ushbu soha bilan bog'liq deyarli barcha muammolarni hal qiladi.
Fiddler
— Fiddler bu barcha HTTP(S) trafigini qayd qiluvchi disk raskadrovka proksisidir. Ushbu trafikni tekshirish, to'xtash nuqtalarini belgilash va kiruvchi yoki chiquvchi ma'lumotlar bilan "o'ynash" imkonini beradi.
Shuningdek bor , yirtqich hayvon va boshqalar, tanlov foydalanuvchiga bog'liq.
xulosa
Tabiiyki, har bir pentester o'z arsenaliga va o'ziga xos yordamchi dasturlarga ega, chunki ularning ko'pi bor. Men eng qulay va mashhur bo'lganlarni sanab o'tishga harakat qildim. Ammo har kim ushbu yo'nalishdagi boshqa yordamchi dasturlar bilan tanishishi uchun men quyida havolalarni taqdim etaman.
Skanerlar va yordamchi dasturlarning har xil toplari/ro'yxatlari
- .
Linux distributivlari allaqachon turli xil pentesting yordam dasturlarini o'z ichiga oladi
yangilash: "Hack4Sec" jamoasidan rus tilida (qo'shilgan )
PS Biz XSpider haqida jim turolmaymiz. Ko'rib chiqishda ishtirok etmaydi, garchi u umumiy dastur bo'lsa ham (men maqolani SecLab-ga yuborganimda bilib oldim, aslida shu sababli (bilim emas va so'nggi versiya 7.8 yo'qligi) va uni maqolaga kiritmaganman). Va nazariy jihatdan, uni qayta ko'rib chiqish rejalashtirilgan edi (menda buning uchun qiyin testlar tayyorlandi), lekin dunyo buni ko'radimi yoki yo'qligini bilmayman.
PPS Maqoladagi ba'zi materiallardan keyingi hisobotda maqsadli maqsadlarda foydalaniladi 2012 yil QA bo'limida bu erda ko'rsatilmagan vositalar (bepul, albatta), shuningdek, algoritm, qanday tartibda nimadan foydalanish kerakligi, qanday natija kutish kerakligi, qanday konfiguratsiyalardan foydalanish va barcha turdagi maslahatlar va fokuslar mavjud. ishlayapman (men deyarli har kuni hisobot haqida o'ylayman, men sizga mavzu haqida eng yaxshi narsalarni aytib berishga harakat qilaman)
Aytgancha, ushbu maqola bo'yicha dars bor edi InfoSec kunlarini oching (, ), mumkin Korovanlarni talon-taroj qilish qarab qo'ymoq .
Manba: www.habr.com