soro nipa wulo irinṣẹ fun pentesters. Ninu nkan tuntun a yoo wo awọn irinṣẹ fun itupalẹ aabo awọn ohun elo wẹẹbu.
Elegbe wa Mo ti ṣe iru nkan bayi bi odun meje seyin. O jẹ ohun ti o dun lati rii iru awọn irinṣẹ ti o ti ni idaduro ati fun awọn ipo wọn lokun, ati awọn wo ni o ti rọ si abẹlẹ ati ti wọn ko lo ni bayi.
Ṣe akiyesi pe eyi tun pẹlu Burp Suite, ṣugbọn atẹjade lọtọ yoo wa nipa rẹ ati awọn afikun iwulo rẹ.
Awọn akoonu:
kojọpọ
- Ohun elo Go fun wiwa ati ṣiṣe iṣiro awọn subdomains DNS ati ṣiṣe aworan nẹtiwọọki ita. Amass jẹ iṣẹ akanṣe OWASP ti a ṣe apẹrẹ lati ṣafihan kini awọn ajo lori Intanẹẹti dabi ẹni ti ita. Amass gba awọn orukọ subdomain ni awọn ọna lọpọlọpọ; ọpa naa nlo iṣiro atunbere mejeeji ti awọn subdomains ati awọn wiwa orisun ṣiṣi.
Lati ṣawari awọn abala nẹtiwọọki ti o ni asopọ ati awọn nọmba eto adase, Amass nlo awọn adirẹsi IP ti o gba lakoko iṣẹ. Gbogbo alaye ti a ri ni a lo lati kọ maapu nẹtiwọki kan.
Aleebu:
- Awọn ilana ikojọpọ alaye pẹlu:
* DNS - wiwa iwe-itumọ ti awọn subdomains, bruteforce subdomains, wiwa ọlọgbọn nipa lilo awọn iyipada ti o da lori awọn ipin-ipin ti a rii, awọn ibeere DNS yiyipada ati wa awọn olupin DNS nibiti o ti ṣee ṣe lati ṣe ibeere gbigbe agbegbe kan (AXFR);* Ṣii wiwa orisun - Beere, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Wa awọn apoti isura infomesonu ijẹrisi TLS - Censys, CertDB, CertSpotter, Crtsh, Trust;
* Lilo ẹrọ wiwa APIs - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Wa awọn ibi ipamọ wẹẹbu wẹẹbu: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Integration pẹlu Maltego;
- Pese agbegbe pipe julọ ti iṣẹ-ṣiṣe ti wiwa fun awọn subdomains DNS.
Konsi:
- Ṣọra pẹlu amass.netdomains - yoo gbiyanju lati kan si gbogbo adiresi IP ni awọn amayederun ti a mọ ati gba awọn orukọ-ašẹ lati awọn wiwa DNS yiyipada ati awọn iwe-ẹri TLS. Eyi jẹ ilana “profaili-giga”, o le ṣafihan awọn iṣẹ oye rẹ ninu agbari ti o wa labẹ iwadii.
- Lilo iranti giga, le jẹ to 2 GB ti Ramu ni awọn eto oriṣiriṣi, eyiti kii yoo gba ọ laaye lati ṣiṣẹ ọpa yii ni awọsanma lori VDS olowo poku.
Altdns
- irinṣẹ Python kan fun iṣakojọpọ awọn iwe-itumọ fun ṣiṣe iṣiro awọn subdomains DNS. Gba ọ laaye lati ṣe ina ọpọlọpọ awọn iyatọ ti subdomains nipa lilo awọn iyipada ati awọn permutations. Fun eyi, awọn ọrọ ti a rii nigbagbogbo ni awọn agbegbe subdomains ni a lo (fun apẹẹrẹ: idanwo, dev, iṣeto), gbogbo awọn iyipada ati awọn iyipada ni a lo si awọn subdomains ti a ti mọ tẹlẹ, eyiti o le fi silẹ si titẹ sii Altdns. Ijade jẹ atokọ ti awọn iyatọ ti awọn subdomains ti o le wa, ati pe atokọ yii le ṣee lo nigbamii fun agbara irokuro DNS.
Aleebu:
- Ṣiṣẹ daradara pẹlu awọn eto data nla.
aquatone
- ni iṣaaju ti a mọ daradara bi irinṣẹ miiran fun wiwa awọn subdomains, ṣugbọn onkọwe funrararẹ kọ eyi silẹ ni ojurere ti Amass ti a mẹnuba. Bayi aquatone ti tun kọ ni Go ati pe o ni itara diẹ sii si iṣawakiri alakoko lori awọn oju opo wẹẹbu. Lati ṣe eyi, aquatone lọ nipasẹ awọn ibugbe ti a ti sọ tẹlẹ ati wiwa fun awọn oju opo wẹẹbu lori awọn ebute oko oju omi oriṣiriṣi, lẹhin eyi o gba gbogbo alaye nipa aaye naa ati gba sikirinifoto kan. Rọrun fun isọdọtun alakoko ti awọn oju opo wẹẹbu, lẹhin eyi o le yan awọn ibi-afẹde pataki fun awọn ikọlu.
Aleebu:
- Ijade naa ṣẹda ẹgbẹ kan ti awọn faili ati awọn folda ti o rọrun lati lo nigbati o ba n ṣiṣẹ siwaju pẹlu awọn irinṣẹ miiran:
* Ijabọ HTML pẹlu awọn sikirinisoti ti a gba ati awọn akọle idahun ti a ṣe akojọpọ nipasẹ ibajọra;* Faili kan pẹlu gbogbo awọn URL nibiti a ti rii awọn oju opo wẹẹbu;
* Faili pẹlu awọn iṣiro ati data oju-iwe;
* folda pẹlu awọn faili ti o ni awọn akọle idahun lati awọn ibi-afẹde ti a rii;
* folda pẹlu awọn faili ti o ni ara ti idahun lati awọn ibi-afẹde ti a rii;
* Awọn sikirinisoti ti awọn oju opo wẹẹbu ti a rii;
- Ṣe atilẹyin ṣiṣẹ pẹlu awọn ijabọ XML lati Nmap ati Masscan;
- Nlo Chrome/Chromium ti ko ni ori lati ṣe awọn sikirinisoti.
Konsi:
- O le fa ifojusi awọn eto wiwa ifọle, nitorinaa o nilo iṣeto ni.
A ya aworan sikirinifoto fun ọkan ninu awọn ẹya atijọ ti aquatone (v0.5.0), ninu eyiti a ti ṣe imuse wiwa subdomain DNS. Agbalagba awọn ẹya le ri ni .
MassDNS
jẹ ọpa miiran fun wiwa awọn subdomains DNS. Iyatọ akọkọ rẹ ni pe o ṣe awọn ibeere DNS taara si ọpọlọpọ awọn olupinnu DNS oriṣiriṣi ati ṣe bẹ ni iyara nla.
Aleebu:
- Yara - o lagbara lati yanju diẹ sii ju awọn orukọ 350 ẹgbẹrun fun iṣẹju kan.
Konsi:
- MassDNS le fa ẹru pataki lori awọn ipinnu DNS ti o wa ni lilo, eyiti o le ja si awọn wiwọle lori olupin wọnyẹn tabi awọn ẹdun si ISP rẹ. Ni afikun, yoo gbe ẹru nla sori awọn olupin DNS ti ile-iṣẹ, ti wọn ba ni wọn ati ti wọn ba ni iduro fun awọn agbegbe ti o n gbiyanju lati yanju.
- Atokọ awọn ipinnu ti wa ni igba atijọ, ṣugbọn ti o ba yan awọn ipinnu DNS ti o bajẹ ati ṣafikun awọn ti a mọ tuntun, ohun gbogbo yoo dara.
Sikirinifoto ti aquatone v0.5.0
nsec3map
jẹ irinṣẹ Python fun gbigba atokọ pipe ti awọn ibugbe aabo DNSSEC.
Aleebu:
- Ni kiakia ṣe awari awọn ogun ni awọn agbegbe DNS pẹlu nọmba ti o kere ju ti awọn ibeere ti atilẹyin DNSSEC ba ṣiṣẹ ni agbegbe naa;
- Pẹlu ohun itanna kan fun John the Ripper ti o le ṣee lo lati kiraki abajade NSEC3 hashes.
Konsi:
- Ọpọlọpọ awọn aṣiṣe DNS ko ni itọju daradara;
- Ko si isọdọkan aifọwọyi ti sisẹ awọn igbasilẹ NSEC - o ni lati pin aaye orukọ pẹlu ọwọ;
- Lilo iranti to gaju.
Acunetix
- ọlọjẹ ailagbara wẹẹbu kan ti o ṣe adaṣe ilana ṣiṣe ayẹwo aabo awọn ohun elo wẹẹbu. Ṣe idanwo ohun elo fun awọn abẹrẹ SQL, XSS, XXE, SSRF ati ọpọlọpọ awọn ailagbara wẹẹbu miiran. Sibẹsibẹ, bii eyikeyi ọlọjẹ miiran, ọpọlọpọ awọn ailagbara wẹẹbu ko rọpo pentester kan, nitori ko le rii awọn ẹwọn eka ti awọn ailagbara tabi awọn ailagbara ni ọgbọn. Ṣugbọn o bo ọpọlọpọ awọn ailagbara oriṣiriṣi, pẹlu ọpọlọpọ awọn CVEs, eyiti pentester le ti gbagbe nipa rẹ, nitorinaa o rọrun pupọ lati gba ọ laaye lati awọn sọwedowo igbagbogbo.
Aleebu:
- Ipele kekere ti awọn idaniloju eke;
- Awọn abajade le jẹ okeere bi awọn ijabọ;
- Ṣe nọmba nla ti awọn sọwedowo fun ọpọlọpọ awọn ailagbara;
- Ti o jọra Antivirus ti ọpọ ogun.
Konsi:
- Ko si algorithm idinkukuro (Acunetix yoo ṣe akiyesi awọn oju-iwe ti o jẹ aami ni iṣẹ ṣiṣe lati yatọ, nitori wọn yorisi awọn URL oriṣiriṣi), ṣugbọn awọn olupilẹṣẹ n ṣiṣẹ lori rẹ;
- Nbeere fifi sori ẹrọ lori olupin wẹẹbu ọtọtọ, eyiti o ṣe idiju awọn eto alabara idanwo pẹlu asopọ VPN kan ati lilo ọlọjẹ ni apakan ti o ya sọtọ ti nẹtiwọọki alabara agbegbe;
- Iṣẹ ti o wa labẹ iwadi le ṣe ariwo, fun apẹẹrẹ, nipa fifiranṣẹ ọpọlọpọ awọn olutọpa ikọlu si fọọmu olubasọrọ lori aaye naa, nitorina ni idiju awọn ilana iṣowo pupọ;
- O jẹ ohun-ini ati, gẹgẹbi, kii ṣe ojutu ọfẹ.
Iwadi
- Ọpa Python kan fun awọn ilana fipa mu awọn ilana ati awọn faili lori awọn oju opo wẹẹbu.
Aleebu:
- Le ṣe iyatọ awọn oju-iwe “200 O dara” gidi lati awọn oju-iwe “200 O dara”, ṣugbọn pẹlu ọrọ “a ko ri oju-iwe”;
- Wa pẹlu iwe-itumọ ti o ni ọwọ ti o ni iwọntunwọnsi to dara laarin iwọn ati ṣiṣe wiwa. Ni awọn ọna boṣewa ti o wọpọ si ọpọlọpọ CMS ati awọn akopọ imọ-ẹrọ;
- Ọna kika iwe-itumọ tirẹ, eyiti o fun ọ laaye lati ṣaṣeyọri ṣiṣe ti o dara ati irọrun ni kika awọn faili ati awọn ilana;
- Imujade ti o rọrun - ọrọ itele, JSON;
- O le ṣe fifunni - idaduro laarin awọn ibeere, eyiti o ṣe pataki fun eyikeyi iṣẹ alailagbara.
Konsi:
- Awọn amugbooro gbọdọ wa ni kọja bi okun, eyi ti o jẹ airọrun ti o ba nilo lati kọja ọpọlọpọ awọn amugbooro ni ẹẹkan;
- Lati le lo iwe-itumọ rẹ, yoo nilo lati ṣe atunṣe diẹ si ọna kika iwe-itumọ Dirsearch fun ṣiṣe ti o pọ julọ.
wfuzz
- Python ohun elo ayelujara fuzzer. Boya ọkan ninu awọn alakoso wẹẹbu olokiki julọ. Ilana naa rọrun: wfuzz gba ọ laaye lati ṣakoso eyikeyi aaye ninu ibeere HTTP, eyiti o jẹ ki o ṣee ṣe lati ṣe ipele GET/POST paramita, awọn akọle HTTP, pẹlu Kuki ati awọn akọle ijẹrisi miiran. Ni akoko kanna, o tun rọrun fun agbara irokuro ti o rọrun ti awọn ilana ati awọn faili, eyiti o nilo iwe-itumọ ti o dara. O tun ni eto àlẹmọ rọ, pẹlu eyiti o le ṣe àlẹmọ awọn idahun lati oju opo wẹẹbu ni ibamu si awọn aye oriṣiriṣi, eyiti o fun ọ laaye lati ṣaṣeyọri awọn abajade to munadoko.
Aleebu:
- Multifunctional - eto apọjuwọn, apejọ gba iṣẹju diẹ;
- Irọrun sisẹ ati siseto fuzzing;
- O le ṣakoso eyikeyi ọna HTTP, bakanna bi aaye eyikeyi ninu ibeere HTTP kan.
Konsi:
- Labẹ idagbasoke.
ofofo
- Fuzzer wẹẹbu kan ni Go, ti a ṣẹda ni “aworan ati irisi” ti wfuzz, ngbanilaaye lati fọ awọn faili, awọn ilana, awọn ọna URL, awọn orukọ ati awọn iye ti awọn aye GET / POST, awọn akọle HTTP, pẹlu akọsori Gbalejo fun agbara irokuro ti foju ogun. wfuzz yato si arakunrin rẹ ni iyara ti o ga ati diẹ ninu awọn ẹya tuntun, fun apẹẹrẹ, o ṣe atilẹyin awọn iwe-itumọ ọna kika Dirari.
Aleebu:
- Ajọ jẹ iru si awọn asẹ wfuzz, wọn gba ọ laaye lati ni irọrun tunto agbara iro;
- Gba ọ laaye lati fuzz awọn iye akọsori HTTP, data ibeere POST ati awọn apakan pupọ ti URL, pẹlu awọn orukọ ati iye ti awọn aye GET;
- O le pato ọna HTTP eyikeyi.
Konsi:
- Labẹ idagbasoke.
gobuster
- ohun elo Go fun atunwo, ni awọn ọna ṣiṣe meji. Ni akọkọ ni a lo lati fi agbara mu awọn faili ati awọn ilana lori oju opo wẹẹbu kan, ekeji ni a lo lati fi agbara mu awọn subdomains DNS. Ọpa naa ko ṣe atilẹyin ni ibẹrẹ kika atunbere ti awọn faili ati awọn ilana, eyiti, nitorinaa, fi akoko pamọ, ṣugbọn ni apa keji, agbara irokuro ti aaye ipari tuntun kọọkan lori oju opo wẹẹbu gbọdọ ṣe ifilọlẹ lọtọ.
Aleebu:
- Iyara iṣiṣẹ giga mejeeji fun wiwa ipa agbara ti awọn subdomains DNS ati fun agbara iro ti awọn faili ati awọn ilana.
Konsi:
- Ẹya lọwọlọwọ ko ṣe atilẹyin eto awọn akọle HTTP;
- Nipa aiyipada, diẹ ninu awọn koodu ipo HTTP nikan (200,204,301,302,307) ni a ka pe o wulo.
Arjun
- ohun elo fun agbara irokuro ti awọn paramita HTTP ti o farapamọ ni awọn aye GET/POST, ati ni JSON. Iwe-itumọ ti a ṣe sinu ni awọn ọrọ 25, eyiti Ajrun ṣe ayẹwo ni bii 980 iṣẹju-aaya. Ẹtan naa ni pe Ajrun ko ṣayẹwo paramita kọọkan lọtọ, ṣugbọn ṣayẹwo ~ 30 paramita ni akoko kan ati rii boya idahun ti yipada. Ti idahun ba ti yipada, o pin awọn paramita 1000 yii si awọn ẹya meji ati ṣayẹwo eyi ti awọn apakan wọnyi ni ipa lori idahun naa. Nitorinaa, ni lilo wiwa alakomeji ti o rọrun, paramita kan tabi awọn aye ti o farapamọ pupọ ni a rii ti o ni ipa lori idahun ati, nitorinaa, le wa.
Aleebu:
- Iyara giga nitori wiwa alakomeji;
- Atilẹyin fun GET/POST paramita, bi daradara bi paramita ni awọn fọọmu ti JSON;
Ohun itanna fun Burp Suite ṣiṣẹ lori ilana ti o jọra - , eyiti o tun dara pupọ ni wiwa awọn paramita HTTP ti o farapamọ. A yoo sọ fun ọ diẹ sii nipa rẹ ninu nkan ti n bọ nipa Burp ati awọn afikun rẹ.
LinkFinder
- iwe afọwọkọ Python kan fun wiwa awọn ọna asopọ ni awọn faili JavaScript. Wulo fun wiwa farasin tabi gbagbe awọn aaye ipari/URL ninu ohun elo wẹẹbu kan.
Aleebu:
- Yara;
- Ohun itanna pataki kan wa fun Chrome da lori LinkFinder.
.
Konsi:
- Ipari ipari ti ko nirọrun;
- Ko ṣe itupalẹ JavaScript lori akoko;
- Imọye ti o rọrun pupọ fun wiwa awọn ọna asopọ - ti JavaScript ba ti parẹ bakan, tabi awọn ọna asopọ ti nsọnu lakoko ati ipilẹṣẹ ni agbara, lẹhinna kii yoo ni anfani lati wa ohunkohun.
JSParser
ni a Python akosile ti o nlo и lati ṣe itupalẹ awọn URL ibatan lati awọn faili JavaScript. Wulo pupọ fun wiwa awọn ibeere AJAX ati iṣakojọpọ atokọ ti awọn ọna API ti ohun elo naa n ṣepọ pẹlu. Ṣiṣẹ daradara ni apapo pẹlu LinkFinder.
Aleebu:
- Iyara itupalẹ awọn faili JavaScript.
sqlmap
jẹ ọkan ninu awọn irinṣẹ olokiki julọ fun itupalẹ awọn ohun elo wẹẹbu. Sqlmap ṣe adaṣe adaṣe ati ṣiṣe ti awọn abẹrẹ SQL, ṣiṣẹ pẹlu ọpọlọpọ awọn oriṣi SQL, ati pe o ni nọmba nla ti awọn ilana oriṣiriṣi ninu ohun ija rẹ, ti o wa lati awọn agbasọ ọrọ ti o taara si awọn abẹrẹ eka fun awọn abẹrẹ SQL ti o da lori akoko. Ni afikun, o ni ọpọlọpọ awọn ilana fun ilokulo siwaju fun awọn oriṣiriṣi DBMS, nitorinaa o wulo kii ṣe bi ẹrọ iwoye fun awọn abẹrẹ SQL, ṣugbọn tun bi ohun elo ti o lagbara fun ilokulo ti a ti rii awọn abẹrẹ SQL tẹlẹ.
Aleebu:
- A o tobi nọmba ti o yatọ si imuposi ati fekito;
- Nọmba kekere ti awọn idaniloju eke;
- Ọpọlọpọ awọn aṣayan atunṣe-itanran, awọn ilana oriṣiriṣi, ibi ipamọ data ibi-afẹde, awọn iwe afọwọkọ ti o ni ipa fun lilọ kiri WAF;
- Agbara lati ṣẹda idalẹnu jade;
- Ọpọlọpọ awọn agbara iṣẹ ṣiṣe ti o yatọ, fun apẹẹrẹ, fun diẹ ninu awọn apoti isura infomesonu - ikojọpọ laifọwọyi / ikojọpọ awọn faili, gbigba agbara lati ṣiṣẹ awọn aṣẹ (RCE) ati awọn miiran;
- Atilẹyin fun asopọ taara si ibi ipamọ data nipa lilo data ti o gba lakoko ikọlu;
- O le fi faili ọrọ silẹ pẹlu awọn abajade ti Burp bi titẹ sii - ko si iwulo lati ṣajọ gbogbo awọn abuda laini aṣẹ pẹlu ọwọ.
Konsi:
- O nira lati ṣe akanṣe, fun apẹẹrẹ, lati kọ diẹ ninu awọn sọwedowo tirẹ nitori awọn iwe ti o ṣọwọn fun eyi;
- Laisi awọn eto ti o yẹ, o ṣe eto awọn sọwedowo ti ko pe, eyiti o le jẹ ṣina.
NoSQLMap
- irinṣẹ Python kan fun adaṣe adaṣe ati ilokulo ti awọn abẹrẹ NoSQL. O rọrun lati lo kii ṣe ni awọn apoti isura infomesonu NoSQL nikan, ṣugbọn tun taara nigbati iṣatunṣe awọn ohun elo wẹẹbu ti o lo NoSQL.
Aleebu:
- Bii sqlmap, kii ṣe wiwa ailagbara ti o pọju nikan, ṣugbọn tun ṣayẹwo iṣeeṣe ti ilokulo rẹ fun MongoDB ati CouchDB.
Konsi:
- Ko ṣe atilẹyin NoSQL fun Redis, Cassandra, idagbasoke ti nlọ lọwọ ni itọsọna yii.
oxml_xxe
- irinṣẹ kan fun ifibọ XXE XML nilokulo sinu ọpọlọpọ awọn oriṣi awọn faili ti o lo ọna kika XML ni ọna kan.
Aleebu:
- Ṣe atilẹyin ọpọlọpọ awọn ọna kika ti o wọpọ bii DOCX, ODT, SVG, XML.
Konsi:
- Atilẹyin fun PDF, JPEG, GIF ko ni imuse ni kikun;
- Ṣẹda faili kan nikan. Lati yanju isoro yi o le lo awọn ọpa , eyiti o le ṣẹda nọmba nla ti awọn faili isanwo ni awọn aaye oriṣiriṣi.
Awọn ohun elo ti o wa loke ṣe iṣẹ nla kan ti idanwo XXE nigba ikojọpọ awọn iwe aṣẹ ti o ni XML ninu. Ṣugbọn tun ranti pe awọn olutọju ọna kika XML ni a le rii ni ọpọlọpọ awọn igba miiran, fun apẹẹrẹ, XML le ṣee lo bi ọna kika data dipo JSON.
Nitorinaa, a ṣeduro pe ki o san ifojusi si ibi ipamọ atẹle, eyiti o ni nọmba nla ti awọn ẹru isanwo oriṣiriṣi: .
tplmap
- irinṣẹ Python kan fun idanimọ laifọwọyi ati ilokulo awọn ailagbara Abẹrẹ Abẹrẹ Apapọ Server; o ni awọn eto ati awọn asia ti o jọra si sqlmap. Nlo ọpọlọpọ awọn ilana oriṣiriṣi ati awọn adaṣe, pẹlu abẹrẹ afọju, ati pe o tun ni awọn ilana fun ṣiṣe koodu ati ikojọpọ / ikojọpọ awọn faili lainidii. Ni afikun, o ni ninu rẹ Asenali imuposi fun kan mejila ti o yatọ awoṣe enjini ati diẹ ninu awọn imuposi fun wiwa eval () -bi koodu abẹrẹ ni Python, Ruby, PHP, JavaScript. Ti o ba ṣaṣeyọri, o ṣii console ibanisọrọ kan.
Aleebu:
- A o tobi nọmba ti o yatọ si imuposi ati fekito;
- Atilẹyin fun ọpọlọpọ awọn ẹnjini Rendering awoṣe;
- Ọpọlọpọ awọn ilana ṣiṣe.
CeWL
- olupilẹṣẹ iwe-itumọ ni Ruby, ti a ṣẹda lati yọkuro awọn ọrọ alailẹgbẹ lati oju opo wẹẹbu kan, tẹle awọn ọna asopọ lori aaye si ijinle pàtó kan. Iwe-itumọ ti a ṣe akojọpọ ti awọn ọrọ alailẹgbẹ le ṣee lo nigbamii lati fi agbara mu awọn ọrọ igbaniwọle agbara lori awọn iṣẹ tabi awọn faili ipa ika ati awọn ilana lori oju opo wẹẹbu kanna, tabi lati kọlu awọn hashes ti o yọrisi ni lilo hashcat tabi John the Ripper. Wulo nigbati o ba n ṣajọ atokọ “afojusun” ti awọn ọrọ igbaniwọle ti o pọju.
Aleebu:
- Rọrun lati lo.
Konsi:
- O nilo lati ṣọra pẹlu ijinle wiwa ki o má ba gba aaye afikun kan.
Weakpass
- iṣẹ ti o ni ọpọlọpọ awọn iwe-itumọ pẹlu awọn ọrọ igbaniwọle alailẹgbẹ. Wulo pupọpupọ fun awọn iṣẹ ṣiṣe lọpọlọpọ ti o nii ṣe pẹlu wiwu ọrọ igbaniwọle, ti o wa lati ori ayelujara ti o rọrun ti awọn akọọlẹ lori awọn iṣẹ ibi-afẹde, si agbara irokuro laini ti awọn hashes ti o gba ni lilo tabi . O ni nipa awọn ọrọ igbaniwọle bilionu 8 ti o wa lati awọn ohun kikọ 4 si 25 ni gigun.
Aleebu:
- Ni awọn iwe-itumọ pato ati awọn iwe-itumọ pẹlu awọn ọrọ igbaniwọle ti o wọpọ julọ - o le yan iwe-itumọ kan pato fun awọn iwulo tirẹ;
- Awọn iwe-itumọ ti ni imudojuiwọn ati kikun pẹlu awọn ọrọ igbaniwọle tuntun;
- Awọn iwe-itumọ jẹ lẹsẹsẹ nipasẹ ṣiṣe. O le yan aṣayan fun mejeeji agbara irokuro lori ayelujara ati yiyan alaye ti awọn ọrọ igbaniwọle lati iwe-itumọ ti o ni agbara pẹlu awọn n jo tuntun;
- Ẹrọ-iṣiro kan wa ti o fihan akoko ti o gba lati ṣafẹri awọn ọrọ igbaniwọle lori ohun elo rẹ.
A yoo fẹ lati ni awọn irinṣẹ fun awọn sọwedowo CMS ni ẹgbẹ ọtọtọ: WPScan, JoomScan ati AEM agbonaeburuwole.
AEM_hacker
jẹ ọpa fun idanimọ awọn ailagbara ninu awọn ohun elo Adobe Experience Manager (AEM).
Aleebu:
- Le ṣe idanimọ awọn ohun elo AEM lati atokọ ti awọn URL ti a fi silẹ si titẹ sii rẹ;
- Ni awọn iwe afọwọkọ fun gbigba RCE nipasẹ gbigbe ikarahun JSP kan tabi lilo SSRF.
JoomScan
- Ohun elo Perl kan fun adaṣe adaṣe wiwa ti awọn ailagbara nigbati o ba n gbe Joomla CMS ṣiṣẹ.
Aleebu:
- Ni anfani lati wa awọn abawọn iṣeto ati awọn iṣoro pẹlu awọn eto iṣakoso;
- Ṣe atokọ awọn ẹya Joomla ati awọn ailagbara ti o somọ, bakanna fun awọn paati kọọkan;
- Ni diẹ sii ju awọn iṣamulo 1000 fun awọn paati Joomla;
- Ijade ti awọn ijabọ ipari ni ọrọ ati awọn ọna kika HTML.
WPScan
- ọpa kan fun ọlọjẹ awọn aaye Wodupiresi, o ni awọn ailagbara ninu ohun ija rẹ mejeeji fun ẹrọ Wodupiresi funrararẹ ati fun diẹ ninu awọn afikun.
Aleebu:
- Agbara lati ṣe atokọ kii ṣe awọn afikun WordPress ti ko ni aabo nikan ati awọn akori, ṣugbọn tun gba atokọ ti awọn olumulo ati awọn faili TimThumb;
- Le ṣe awọn ikọlu agbara iro lori awọn aaye Wodupiresi.
Konsi:
- Laisi awọn eto ti o yẹ, o ṣe eto awọn sọwedowo ti ko pe, eyiti o le jẹ ṣina.
Ni gbogbogbo, awọn eniyan oriṣiriṣi fẹ awọn irinṣẹ oriṣiriṣi fun iṣẹ: gbogbo wọn ni o dara ni ọna ti ara wọn, ati pe ohun ti eniyan fẹran le ma baamu fun ẹlomiran rara. Ti o ba ro pe a ti foju aiṣedeede bikita diẹ ninu awọn ohun elo to dara, kọ nipa rẹ ninu awọn asọye!
orisun: www.habr.com