Бесплатные инструменты пентестера веб-приложений |
В данной статье я расскажу о наиболее популярных бесплатных инструментах при пентестинге (тесты на проникновение) веб-приложений в режиме «черного ящика». Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. В обзор включены следующие категории продуктов:
Некоторые продукты имеют универсальный «характер», поэтому буду относить их к той категории, в которой они представляют большую ценность (субъективное мнение). Сетевые сканерыОсновная задача — раскрыть доступные сетевые сервисы, установить их версии, определить ОС и т. д. Nmap
Это не просто «умный» сканер, это серьезный расширяемый инструмент (из «необычных фишек» — наличие скрипта для проверки узла на наличие червя "Stuxnet" (упоминалось тут). Типовой пример использования:
-A для определения версии ОС, сканирования с использованием скриптов и трассировки -T4 настройка управления временем (больше — быстрее, от 0 до 5) localhost — целевой хост Что-нибудь по жестче?
Это набор опций из профиля «slow comprehensive scan» в Zenmap. Выполняется довольно долго, но и дает в итоге более детальную информацию, которую можно узнать о целевой системе. Справочное руководство на русском языке, если решили углубиться, а так же советую перевод статьи Beginner's Guide to Nmap. Nmap получил статус “Security Product of the Year” такими журналами и сообществами как Linux Journal, Info World, LinuxQuestions.Org и Codetalker Digest. Интересный момент, Nmap можно увидеть в фильмах «Матрица: Перезагрузка», «Крепкий орешек 4», «Ультиматум Борна», «Хоттабыч» и других. IP-Tools
Сканер портов, общих ресурсов (расшаренные принтеры/папки), WhoIs/Finger/Lookup, telnet клиент и многое другое. Просто удобный, быстрый, функциональный инструмент. Нет особого смысла рассматривать остальные продукты, так как очень много утилит в данной области и все они имеют схожий принцип работы и функционал. Все же самым часто используемым остается nmap. Сканеры брешей в веб-скриптахПытаются найти популярные уязвимости (SQL inj, XSS, LFI/RFI и т.д.) или ошибки (не удаленные временные файлы, индексация директорий и т.п.) Acunetix Web Vulnerability Scanner
Nikto
Плюс, если находит какой-нибудь популярный скрипт, то проверяет его на вышедшие эксплоиты (которые есть в базе). Сообщает о доступных «нежелательных» методах, типа PUT и TRACE Ну и так далее. Очень удобно, если ты работаешь пентестером и каждый день проводишь анализ сайтов. Из минусов хотел бы отметить высокий процент ложных срабатываний. К примеру если ваш сайт вместо 404 ошибки (когда она должна возникнуть) отдает все время главную, то сканер скажет, что на вашем сайте все скрипты и все уязвимости из его базы. На практике такое не так часто встречается, но как факт, многое зависит от структуры вашего сайта. Классическое использование:
Если нужно быть авторизованным на сайте, можно выставить cookie в файле nikto.conf, переменная STATIC-COOKIE.
Wikto
skipfish
Типичное использование:
В папке «reports» будет отчет в html, пример. w3af
Рассказывать про его преимущества можно долго, лучше испробовать его :] Типичная работа с ним сводится к выбору профиля, указания цели и, собственно, запуска. Mantra Security Framework
Очень полезны при тестировании веб-приложений на всех этапах. Использование сводится к установке и запуску браузера. На самом деле очень много утилит в данной категории и довольно сложно выделить из них конкретный список. Чаще всего каждый пентестер сам определяет набор нужных ему инструментов. ЭксплойтингДля автоматизированного и более удобного использования уязвимостей в программном обеспечении и скриптах пишут эксплойты, которым нужно только передать параметры, чтобы использовать брешь в безопасности. А есть продукты, которые избавляют от ручного поиска эксплоитов, да и еще и применяют их «на лету». Об этой категории сейчас и пойдет речь.
Metasploit Framework
А можно просто автоматизировать работу нужного нам эксплойта. К примеру:
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run На самом деле возможности данного framework очень обширны, поэтому, если решили углубиться, переходим по ссылке. ArmitageArmitage — OVA жанра киберпанкGUI для Metasploit. Визуализирует цель, рекомендует эксплоиты и предоставляет расширенные возможности данного фреймворка. В общем для тех, кто любит, чтобы все красиво и эффектно выглядело. Скринкаст:
Tenable Nessus®
Использование:
Через некоторое время отчет о сканировании появится во вкладке Reports Для проверки практической уязвимости сервисов к эксплоитам можно использовать выше описанный Metasploit Framework или попробовать найти эксплоит (к примеру на Explot-db, packet storm, explot search и др.) и использовать его вручную против своей системы ИМХО: слишком громоздкий. Привел его как одного из лидеров в данном направлении софтверной индустрии. Автоматизация инъекцийПоиск инъекций производят многие из web app sec сканеров, но они все же просто общие сканеры. А есть утилиты, которые конкретно занимаются поиском и эксплуатацией инъекций. О них сейчас и пойдет речь. sqlmap
Типичное использование сводится к строчке:
Хватает мануалов, в том числе и на русском языке. Софтина очень облегчает работу пентестера при работе над данным направлением. Добавлю официальную видео демонстрацию: bsqlbf-v2bsqlbf-v2 — скрипт на perl, брутфорсер «слепых» Sql инъекций. Работает как и с integer значениями в url, так и со строковыми (string). Поддерживает БД:
Пример использования:
-url www.somehost.com/blah.php?u=5 — Ссылка с параметрами -blind u — параметр для инъекции (по умолчанию забирается последний из адресной строки) -sql «select table_name from imformation_schema.tables limit 1 offset 0» — наш произвольный запрос в базу -database 1 — сервер БД: MSSQL -type 1 — тип атаки, «слепая» инъекция, основанная на True и Error (к примеру синтаксические ошибки) ответах ДебаггерыЭти инструменты в основном используют разработчики, при проблемах с результатами выполнения своего кода. Но это направление полезно и при пентестинге, когда можно подменять нужные нам данные «на лету», анализировать, что приходит в ответ на наши входные параметры (к примеру при фаззинге) и т.д. Burp SuiteBurp Suite — набор утилит, которые помогают при тестах на проникновение. В Сети лежит хороший обзор на русском языке от Raz0r (правда за 2008 год). В бесплатную версию входит:
В принципе этот пакет решает практически все задачи, связанные с этим направлением. Fiddler
Есть еще и Firesheep, монстр Wireshark и другие, выбор за пользователем. ЗаключениеЕстественно, каждый пентестер имеет свой арсенал и свой набор утилит, так как их просто множество. Я постарался привести одни из наиболее удобных и популярных. Но чтобы любой желающий мог ознакомится и с другими утилитами в этом направлении, я приведу ссылки ниже. Различные топы/списки сканеров и утилит
Дистрибутивы Linux, в состав которых уже входит куча разных утилит для пентестингаАвтор: Сергей Белов |
|
Похожие статьи: |
« Защита сервера от ошибок в phpMyAdmin | rsync: getcwd(): No such file or directory (2) » |
Главная | PHP | MySQL | Unix | JavaScript | Desktop | Дизайн | Продвижение | Другое |
X |
Новые заметки:→ Почему задачи выполняют долго → Равномерное распределение данных |
Последние комменты:19.08.2018 18:57, 100 комментов
14.08.2018 10:43, 1 коммент
09.08.2018 06:02, 309 комментов
08.08.2018 02:52, 1 коммент
25.07.2018 10:07, 2 коммента
|
Yapro CMS:→ Плагины
|