前陣子我寫過關於
免費的 Web 應用程式滲透測試工具
在本文中,我將討論使用「黑盒子」策略對 Web 應用程式進行滲透測試(滲透測試)的最受歡迎工具。
為此,我們將研究有助於此類測試的實用程式。 考慮以下產品類別:
- 網絡掃描儀
- Web 腳本違規掃描器
- 開發
- 注射自動化
- 調試器(嗅探器、本地代理等)
有些產品具有通用的“特性”,所以我將它們歸類為具有通用“特性”的類別。о更好的結果(主觀意見)。
網路掃描器。
主要任務是發現可用的網路服務、安裝其版本、確定作業系統等。
NMAP
這不僅僅是一個“智能”掃描器,它還是一個重要的可擴展工具(其中一個“不尋常的功能”是存在用於檢查節點是否存在蠕蟲的腳本”
nmap -A -T4 localhost
-A 用於作業系統版本檢測、腳本掃描和追蹤
-T4時間控制設定(越多越快,從0到5)
localhost - 目標主機
有更難的嗎?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
這是 Zenmap 中「慢速全面掃描」設定檔中的一組選項。 它需要相當長的時間才能完成,但最終提供了可以找到有關目標系統的更詳細的資訊。
Nmap 已獲得 Linux Journal、Info World、LinuxQuestions.Org 和 Codetalker Digest 等雜誌和社群頒發的「年度安全產品」稱號。
有趣的是,Nmap 可以在電影《駭客任務:重裝上陣》、《虎膽龍威 4》、《諜影重重》、《Hottabych》等電影中看到。
IP工具
連接埠掃描器、共用資源(共用印表機/資料夾)、WhoIs/Finger/Lookup、telnet 用戶端等等。 只是一個方便、快速、實用的工具。
考慮其他產品沒有什麼特別的意義,因為這個領域有很多實用程序,而且它們都有相似的操作原理和功能。 儘管如此,nmap 仍然是最常使用的。
Web 腳本違規掃描器
嘗試尋找流行的漏洞(SQL inj、XSS、LFI/RFI 等)或錯誤(未刪除的臨時檔案、目錄索引等)
Acunetix Web 漏洞掃描程序
日高
另外,如果它發現一些流行的腳本,它會檢查它是否有已發布的漏洞(位於資料庫中)。
報告可用的「不需要的」方法,例如 PUT 和 TRACE
等等。 如果你是審計員,每天分析網站,那是非常方便的。
在缺點中,我想指出誤報率很高。 例如,如果您的網站總是給出主要錯誤而不是 404 錯誤(當它應該發生時),那麼掃描器會說您的網站包含其資料庫中的所有腳本和所有漏洞。 實際上,這種情況並不經常發生,但事實上,這在很大程度上取決於您網站的結構。
經典用法:
./nikto.pl -host localhost
如果需要在網站上取得授權,可以在 nikto.conf 檔案中設定 cookie,即 STATIC-COOKIE 變數。
威克托
跳魚
典型用途:
在「reports」資料夾中將會有一個 html 格式的報告,
w3af
您可以長時間談論它的優點,最好嘗試一下:]使用它的典型工作歸結為選擇配置文件,指定目標,實際上,啟動它。
咒語安全框架
在測試各個階段的 Web 應用程式時非常有用。
使用歸結為安裝和啟動瀏覽器。
事實上,這一類別中有很多實用程序,很難從中選擇一個特定的清單。 大多數情況下,每個滲透測試人員都會自行決定他需要的工具集。
開發
為了自動化、更方便地利用漏洞,利用軟體和腳本編寫漏洞,只需要傳遞參數即可利用安全漏洞。 有些產品可以消除手動搜尋漏洞的需要,甚至可以即時應用它們。 現在將討論這個類別。
Metasploit框架
或者我們可以簡單地自動化我們需要的漏洞操作。 例如:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
事實上,這個框架的功能非常廣泛,所以如果你決定更深入,請訪問
阿米蒂奇
截圖影片:
Tenable Nessus®
Использование:
- 下載(針對您的系統)、安裝、註冊(金鑰傳送到您的電子郵件)。
- 啟動伺服器,將使用者新增至 Nessus 伺服器管理員(管理使用者按鈕)
- 我們去地址
https://localhost:8834/
並在瀏覽器中取得flash客戶端
- 掃描 -> 新增 -> 填寫欄位(透過選擇適合我們的掃描設定檔),然後按一下掃描
一段時間後,掃描報告將出現在「報告」標籤中
若要檢查服務的實際漏洞,您可以使用上述 Metasploit 框架或嘗試尋找漏洞(例如,在
恕我直言:太笨重了。 我把他視為軟體產業這個方向的領導者之一。
注射自動化
許多網頁應用程式秒掃描器都會搜尋注入,但它們仍然只是通用掃描器。 還有一些實用程式專門處理搜尋和利用注入。 我們現在將討論它們。
SqlMap的
典型用法歸結為:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
有足夠的手冊,包括俄語的。 該軟體極大地方便了滲透測試人員在該領域的工作。
我將添加官方視頻演示:
bsqlbf-v2
支援的資料庫:
- SQL資料庫
- MySQL的
- PostgreSQL的
- 神諭
使用示例:
-url
-瞎了你 — 注入參數(預設最後一個取自網址列)
-sql“從imformation_schema.tables中選擇table_name限制1偏移0” ——我們對資料庫的任意請求
-資料庫1 — 資料庫伺服器:MSSQL
-1型 — 攻擊類型,「盲」注入,基於 True 和 Error(例如,語法錯誤)回應
偵錯工具
這些工具主要供開發人員在程式碼執行結果出現問題時使用。 但是這個方向對於滲透測試也很有用,當我們可以動態替換我們需要的資料時,分析響應我們的輸入參數的內容(例如,在模糊測試期間)等。
Burp套房
免費版本包括:
- Burp Proxy 是一個本機代理,可讓您修改瀏覽器已經產生的請求
- Burp Spider - 蜘蛛,搜尋現有檔案和目錄
- Burp Repeater - 手動發送HTTP請求
- Burp Sequencer - 分析表單中的隨機值
- Burp Decoder是一個標準的編碼器-解碼器(html、base64、hex等),數量有數千個,可以用任何語言快速編寫
- Burp Comparer - 字串比較組件
原則上,這個包解決了幾乎所有與該領域相關的問題。
提琴手
還有
結論
當然,每個滲透測試人員都有自己的武器庫和自己的一套實用程序,因為它們的數量實在太多了。 我試著列出一些最方便和最受歡迎的。 但為了讓任何人都可以熟悉這個方向的其他實用程序,我將在下面提供連結。
掃描器和實用程式的各種頂部/列表
安全和駭客工具 100 佳網路安全工具 十大 Web 漏洞掃描程序 .十大漏洞掃描程序 OWASP 十大工具與策略 基於網路的應用程式安全掃描器 WebAppSec 的 Web 應用程式安全掃描器列表 RDot 論壇上的資訊安全實用程序 漏洞掃描器(維基百科)
已經包含大量不同滲透測試實用程式的 Linux 發行版
更新:
PS 我們不能對 XSpider 保持沉默。 不參與評審,雖然是共享軟體(我把文章發給SecLab的時候才發現,其實就是因為這個(不是知識,而且缺少最新7.8版本)而沒有納入文章中)。 理論上,計劃對其進行審查(我為此準備了困難的測試),但我不知道世界是否會看到它。
PPS 本文中的一些資料將在即將發布的報告中用於其預期目的,網址為
順便說一下,這篇文章有一個教訓 資訊安全開放日 (
來源: www.habr.com