Unix

В данной статье я расскажу о наиболее популярных бесплатных инструментах при пентестинге (тесты на проникновение) веб-приложений в режиме «черного ящика».

Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. В обзор включены следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

На моем веб-сервере стоит ISPmanager, в нем есть такая особенность, что можно заходить в phpMyAdmin набрав в адресной строке браузера такой адрес:

https://yapro.ru/myadmin/

Зная об этом, злоумышленник легко может проверить Ваш phpMyAdmin на наличие багов (а они есть в старых версиях) и дальше работать с Вашими сайтами как ему заблагорассудится (в зависимости от существующих ошибок в Вашей версии phpMyAdmin).

Команды которые должны быть в голове, а если Вы новичок, то эти команды Вам обязательно пригодятся.

Самый простой способ, это найти какой URL загружает процессор, уничтожить PID и исправить скрипт с ошибкой.

Иногда возникает задача добавить пользователя на сервер с FreeBSD и разрешить ему доступ по SSH.