Программа для анализа сайта на уязвимости


Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2 / Хабрахабр

Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.
Бесплатные инструменты пентестера веб-приложений
В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика». Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:
  1. Сетевые сканеры
  2. Сканеры брешей в веб-скриптах
  3. Эксплойтинг
  4. Автомазация инъекций
  5. Дебаггеры (снифферы, локальные прокси и т.п.)
Некоторые продукты имеют универсальный «характер», поэтому буду относить их к той категории, в которой они имеют больший результат (субъективное мнение).
Сетевые сканеры.
Основная задача — раскрыть доступные сетевые сервисы, установить их версии, определить ОС и т. д.NmapNmap («Network Mapper») это бесплатная утилита с открытым исходным кодом для анализа сети и аудита безопасности систем. Яростные противники консоли могут использовать Zenmap, это GUI к Nmap'у. Это не просто «умный» сканер, это серьезный расширяемый инструмент (из «необычных фишек» — наличие скрипта для проверки узла на наличие червя "Stuxnet" (упоминалось тут). Типовой пример использования:

nmap -A -T4 localhost

-A для определения версии ОС, сканирования с использованием скриптов и трассировки -T4 настройка управления временем (больше — быстрее, от 0 до 5) localhost — целевой хост Что-нибудь по жестче?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Это набор опций из профиля «slow comprehensive scan» в Zenmap. Выполняется довольно долго, но и дает в итоге более детальную информацию, которую можно узнать о целевой системе. Справочное руководство на русском языке, если решили углубиться, а так же советую перевод статьи Beginner's Guide to Nmap. Nmap получил статус “Security Product of the Year” такими журналами и сообществами как Linux Journal, Info World, LinuxQuestions.Org и Codetalker Digest.Интересный момент, Nmap можно увидеть в фильмах «Матрица: Перезагрузка», «Крепкий орешек 4», «Ультиматум Борна», «Хоттабыч» и других.

IP-ToolsIP-Tools — эдакий набор из разных сетевых утилит, поставляется с GUI, «посвящена» windows юзерам. Сканер портов, общих ресурсов (расшаренные принтеры/папки), WhoIs/Finger/Lookup, telnet клиент и многое другое. Просто удобный, быстрый, функциональный инструмент.

Нет особого смысла рассматривать остальные продукты, так как очень много утилит в данной области и все они имеют схожий принцип работы и функционал. Все же самым часто используемым остается nmap.

Сканеры брешей в веб-скриптах
Пытаются найти популярные уязвимости (SQL inj, XSS, LFI/RFI и т.д.) или ошибки (не удаленные временные файлы, индексация директорий и т.п.)Acunetix Web Vulnerability ScannerAcunetix Web Vulnerability Scanner — по ссылке заметно что это xss сканер, но это не совсем так. Бесплатная версия, доступная по ссылке дает довольно большой функционал. Обычно человека, запустившего этот сканер первый раз и впервые получив отчет по своему ресурсу охватывает небольшой шок, и вы поймете почему, сделав это. Это очень мощный продукт для анализа просто всевозможных уязвимостей на сайте и работает не только с привычными нам сайтами на php, но и на других языках (хоть отличие в языке не показатель). Инструкцию описывать особо смысла нет, так как сканер просто «подхватывает» действия пользователя. Что-то похожее на «далее, далее, далее, готово» в типичной установке какого-либо ПО.NiktoNikto это Open Source (GPL) веб-сканер. Избавляет от рутинной ручной работы. Ищет на целевом сайте неудаленные скрипты (какие-нибудь test.php, index_.php и т.п.), инструменты администрирования бд (/phpmyadmin/, /pma и подобные) и т.д., то есть проверяет ресурс на самые частые ошибки, возникшие обычно из-за человеческого фактора. Плюс, если находит какой-нибудь популярный скрипт, то проверяет его на вышедшие эксплоиты (которые есть в базе). Сообщает о доступных «нежелательных» методах, типа PUT и TRACE Ну и так далее. Очень удобно, если ты работаешь аудитором и каждый день проводишь анализ сайтов. Из минусов хотел бы отметить высокий процент ложных срабатываний. К примеру если ваш сайт вместо 404 ошибки (когда она должна возникнуть) отдает все время главную, то сканер скажет, что на вашем сайте все скрипты и все уязвимости из его базы. На практике такое не так часто встречается, но как факт, многое зависит от структуры вашего сайта. Классическое использование:

./nikto.pl -host localhost

Если нужно быть авторизованным на сайте, можно выставить cookie в файле nikto.conf, переменная STATIC-COOKIE.

WiktoWikto — Nikto под Windows, но с некоторыми дополнениями, как «нечеткой» логикой при проверке кода на ошибки, использование GHDB, получение ссылок и папок ресурса, реал-таймовым мониторингом HTTP запросов/ответов. Wikto написан на C# и требует .NET framework.skipfishskipfish — сканер веб-уязвимостей от Michal Zalewski (известного под ником lcamtuf). Написан на С, кроссплатформинен (для Win нужен Cygwin). Рекурсивно (и очень долго, порядка 20~40 часов, хотя последний раз у меня работал 96 часов) обходит весь сайт и находит всевозможные бреши в безопасности. Так же генерирует очень много трафика (по несколько гб входящего/исходящего). Но все средства хороши, тем более, если есть время и ресурсы. Типичное использование:

./skipfish -o /home/reports www.example.com

В папке «reports» будет отчет в html, пример.

w3af w3af — Web Application Attack and Audit Framework, open-source сканер веб-уязвимостей. Имеет GUI, но можно работать из под консоли. Точнее, это фреймворк, с кучей плагинов. Рассказывать про его преимущества можно долго, лучше испробовать его :] Типичная работа с ним сводится к выбору профиля, указания цели и, собственно, запуска.Mantra Security FrameworkMantra is a dream that came true. Коллекция свободных и открытых инструментов по ИБ, встраиваемых в веб-браузер. Очень полезны при тестировании веб-приложений на всех этапах. Использование сводится к установке и запуску браузера.

На самом деле очень много утилит в данной категории и довольно сложно выделить из них конкретный список. Чаще всего каждый пентестер сам определяет набор нужных ему инструментов.

Эксплойтинг
Для автоматизированного и более удобного использования уязвимостей в программном обеспечении и скриптах пишут эксплойты, которым нужно только передать параметры, чтобы использовать брешь в безопасности. А есть продукты, которые избавляют от ручного поиска эксплоитов, да и еще и применяют их «на лету». Об этой категории сейчас и пойдет речь.Metasploit Framework The Metasploit® Framework — эдакий монстр в нашем деле. Он столько умеет, что инструкция выйдет на несколько статей. Мы рассмотрим автоматический эксплоитнг (nmap + metasploit). Суть такова, Nmap проанализирует нужный нам порт, установит сервис, а metasploit попробует применить к нему эксплоиты, исходя из класса сервиса (ftp, ssh и т.п.). Вместо текстовой инструкции я вставлю видео, довольно популярное на тему autopwn

А можно просто автоматизировать работу нужного нам эксплойта. К примеру:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP] msf auxiliary(vpn_3000_ftp_bypass) > run На самом деле возможности данного framework очень обширны, поэтому, если решили углубиться, переходим по ссылке

ArmitageArmitage — OVA жанра киберпанкGUI для Metasploit. Визуализирует цель, рекомендует эксплоиты и предоставляет расширенные возможности данного фреймворка. В общем для тех, кто любит, чтобы все красиво и эффектно выглядело. Скринкаст:Tenable Nessus®Tenable Nessus® vulnerability scanner — очень много чего умеет, но нам от него нужна одна из возможностей — определение, для каких сервисов есть эксплойты. Бесплатная версия продукта «home only»

Использование:

  • Скачали (под свою систему), установили, зарегистрировали (ключик приходит на почту).
  • Запустили сервер, добавили юзера в Nessus Server Manager (кнопка Manage users)
  • Заходим по адресу https://localhost:8834/ и получаем флэш-клиент в браузере
  • Scans -> Add -> заполняем поля (выбрав подходящий нам профиль сканирования) и жмем Scan
Через некоторое время отчет о сканировании появится во вкладке Reports Для проверки практической уязвимости сервисов к эксплоитам можно использовать выше описанный Metasploit Framework или попробовать найти эксплоит (к примеру на Explot-db, packet storm, explot search и др.) и использовать его вручную против своей системыИМХО: слишком громоздкий. Привел его как одного из лидеров в данном направлении софтверной индустрии.
Автоматизация инъекций
Поиск инъекций производят многие из web app sec сканеров, но они все же просто общие сканеры. А есть утилиты, которые конкретно занимаются поиском и эксплуатацией инъекций. О них сейчас и пойдет речь.sqlmapsqlmap — open-source утилита для поиска и эксплуатации SQL инъекций. Поддерживает такие сервера БД, как: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB. Типичное использование сводится к строчке:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1" Хватает мануалов, в том числе и на русском языке. Софтина очень облегчает работу пентестера при работе над данным направлением. Добавлю официальную видео демонстрацию:

bsqlbf-v2bsqlbf-v2 — скрипт на perl, брутфорсер «слепых» Sql инъекций. Работает как и с integer значениями в url, так и со строковыми (string). Поддерживает БД:
  • MS-SQL
  • MySQL
  • PostgreSQL
  • Oracle
Пример использования:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1-url www.somehost.com/blah.php?u=5 — Ссылка с параметрами-blind u — параметр для инъекции (по умолчанию забирается последний из адресной строки)-sql «select table_name from imformation_schema.tables limit 1 offset 0» — наш произвольный запрос в базу-database 1 — сервер БД: MSSQL-type 1 — тип атаки, «слепая» инъекция, основанная на True и Error (к примеру синтаксические ошибки) ответах

Дебаггеры
Эти инструменты в основном используют разработчики, при проблемах с результатами выполнения своего кода. Но это направление полезно и при пентестинге, когда можно подменять нужные нам данные «на лету», анализировать, что приходит в ответ на наши входные параметры (к примеру при фаззинге) и т.д.Burp SuiteBurp Suite — набор утилит, которые помогают при тестах на проникновение. В Сети лежит хороший обзор на русском языке от Raz0r (правда за 2008 год). В бесплатную версию входит:
  • Burp Proxy — локальный прокси, позволяет изменять уже сформированные запросы от браузера
  • Burp Spider — паук, ищет существующие файлы и директории
  • Burp Repeater — ручная отправка HTTP-запросов
  • Burp Sequencer — анализ случайных значений в формах
  • Burp Decoder — стандартный кодер-декодер (html, base64, hex и т.п.), коих тысячи, которые можно быстро написать на каком-нибудь языке
  • Burp Comparer — компонент сопоставления строк
В принципе этот пакет решает практически все задачи, связанные с этим направлением.FiddlerFiddler — Fiddler это отладочный прокси, логирующий весь HTTP(S) трафик. Позволяет исследовать этот траффик, устанавливать breakpoint'ы и «играться» с входящими или исходящими данными.

Есть еще и Firesheep, монстр Wireshark и другие, выбор за пользователем.

Заключение
Естественно, каждый пентестер имеет свой арсенал и свой набор утилит, так как их просто множество. Я постарался привести одни из наиболее удобных и популярных. Но чтобы любой желающий мог ознакомится и с другими утилитами в этом направлении, я приведу ссылки ниже.Различные топы/списки сканеров и утилитДистрибутивы Linux, в состав которых уже входит куча разных утилит для пентестинга

upd: Документация по BurpSuite на русском от команды «Hack4Sec» (добавил AntonKuzmin)

P.S. Нельзя умолчать про XSpider. Не участвует в обзоре, хотя он условно-бесплатен (узнал, когда отправил статью на СекЛаб, собственно из-за этого (не знания, да и неимения последней версии 7.8) и не включил его в статью). И по идее планировался его обзор (у меня заготовлены для него непростые тесты), но не знаю, увидит ли его мир.

P.P.S. Некоторый материал из статьи будет использован по прямому назначению в грядущем докладе на CodeFest 2012 в секции QA, в котором будут неупомянутые здесь инструменты (бесплатные, ессно), а так же рассказан алгоритм, по какому порядку что использовать, какой результат ожидать, какие конфигурации использовать и всякие хинты и трюки при работе (размышляю над докладом почти каждый день, постараюсь рассказать от себя все лучшее по теме топика) Кстати, по данной статье было занятие на Open InfoSec Days (тэг на Хабре, сайт), можно грабить корованы глянуть материалы.

habrahabr.ru

Уязвимости сайтов. Проверка сайта. Программа для сканирования сайта на уязвимость

Проблема безопасности вебсайтов ещё никогда не стояла так остро, как в 21 веке. Конечно, это связано со всеобъемлющим распространением сети Интернет практически во всех отраслях и сферах. Каждый день хакеры и специалисты по безопасности находят по нескольку новых уязвимостей сайтов. Многие из них тут же закрываются владельцами и разработчиками, а какие-то остаются как есть. Чем и пользуются злоумышленники. А ведь с помощью взломанного сайта можно нанести большой вред как его пользователям, так и серверам, на которых он размещён.

Типы уязвимостей сайтов

При создании веб-страниц используется много смежных электронных технологий. Какие-то являются совершенными и проверены временем, а какие-то новые и ещё не обкатанные. В любом случае имеется масса разновидностей уязвимостей сайтов:

  • XSS. Каждый сайт обладает небольшими формами. С их помощью пользователи вводят данные и получают какой-либо результат, проводят регистрации или отправляют сообщения. Подстановкой в эти формы специальных значений можно спровоцировать выполнение определённого скрипта, что может вызвать нарушение целостности сайта и компрометирование данных.
  • SQL-инъекция. Очень распространённый и эффективный способ получить доступ к конфиденциальным данным. Происходить это может либо через адресную строку, либо через формы. Процесс проводится путем подстановки значений, которые могут не отфильтровываться скриптами и выполнять запросы в базу данных. А при должных знаниях это может вызвать нарушение безопасности.

  • HTML-ошибки. Практически то же самое, что и XSS, но внедряется не скрипт-код, а HTML.
  • Уязвимость сайтов, связанная с размещением файлов и каталогов в местах по умолчанию. Например, зная структуру веб-страниц, можно добраться до кода административной панели.
  • Недостаточная настройка защиты операционной системы на сервере. Если таковая уязвимость присутствует, то у злоумышленника появляется возможность выполнить произвольный код.
  • Плохие пароли. Одна из самых очевидных уязвимостей сайтов — использование слабых значений для защиты своей учётной записи. Особенно, если она с правами администратора.
  • Переполнение буфера. Используется при замене данных из памяти, вследствие чего можно внести свои коррективы. Встречается при задействовании несовершенного программного обеспечения.
  • Замена страниц веб-ресурса. Воссоздание точной копии сайта, зайдя на который пользователь может не заподозрить подвоха и ввести свои личные данные, через некоторое время переходящие злоумышленнику.
  • Отказ в обслуживании. В основном под этим термином понимают атаку на сервер, когда он получает большое количество запросов, которые не может обработать и попросту «падает» или же становится не способным обслужить настоящих пользователей. Уязвимость же заключается в том, что фильтр по IP не настроен должным образом.

Поиск уязвимостей сайта

Специалисты по безопасности проводят особый аудит веб-ресурсов на наличие ошибок и недочётов, способных привести к взлому. Такая проверка сайта называется пентестинг. В процессе анализируется исходный код, используемые CMS, наличие уязвимых модулей и много других интересных проверок.

SQL-инъекция

Этот тип проверки сайта устанавливает, фильтрует ли скрипт полученные значения при составлении запросов в базу данных. Провести простейшее тестирование можно и вручную. Как найти уязвимость SQL на сайте? Сейчас будет рассмотрено.

К примеру, имеется некий сайт мой-сайт.рф. На его главной странице есть какой-либо каталог. Зайдя в него, можно обнаружить в адресной строке что-то наподобие мой-сайт.рф/?product_id=1. Есть вероятность, что это и есть запрос в базу. Для поиска уязвимостей сайта сначала можно попробовать подставить в эту строку одинарную кавычку. В итоге должно быть мой-сайт.рф/?product_id=1'. Если при нажатии клавиши "Ввод" на странице появилось сообщение об ошибке, то уязвимость имеется.

Теперь можно использовать различные варианты подбора значений. Применяются операторы объединения, исключения, комментирования и многие другие.

XSS

Данный тип уязвимости может быть двух видов — активный и пассивный.

Активный подразумевает внедрение участка кода в базу данных или прямо в файл на сервере. Он более опасен и непредсказуем.

Пассивный режим предусматривает заманивание жертвы на определённый адрес сайта, содержащего вредный код.

С помощью XSS злоумышленник может украсть Cookies. А в них могут содержаться важные данные пользователя. Ещё более ужасными последствиями обладает кража сессии.

Также хакер может использовать скрипт на сайте таким образом, чтобы форма в момент отправки её пользователем отдавала информацию прямиком в руки злоумышленнику.

Автоматизация процесса поиска

В сети можно найти массу интересных сканеров уязвимостей сайта. Какие-то поставляются отдельно, какие-то идут в комплекте с несколькими подобными и объединены в один общий образ, наподобие Kali Linux. Далее будет представлен обзор наиболее популярных средств для автоматизации процесса сбора информации об уязвимостях.

Nmap

Самый простой сканер уязвимостей сайта, который может показать такие подробности, как операционная система, используемые порты и сервисы. Типичный пример применения:

nmap -sS 127.0.0.1, где вместо локального IP нужно подставить адрес реального тестируемого сайта.

Вывод сообщит о том, какие сервисы запущены на нем, и какие порты в этот момент открыты. На основе этой информации можно попробовать использовать уже выявленные уязвимости.

Вот несколько ключей nmap для более пристрастного сканирования:

  • -A. Агрессивное сканирование, которое вывалит очень много информации, но может занять значительное время.
  • -O. Пытается определить операционную систему, задействованную на сервере.
  • -D. Подменит IP адреса, с которых производится проверка, чтобы при просмотре логов сервера невозможно было определить, откуда произошла атака.
  • -p. Диапазон портов. Проверка сразу нескольких служб на наличие открытых.
  • -S. Позволит указать нужный IP адрес.

WPScan

Данная программа для сканирования сайта на уязвимость входит в дистрибутив Kali Linux. Ориентирован на проверку веб-ресурсов на системе управления контентом WordPress. Написана она на Ruby, поэтому запускается примерно так:

ruby ./wpscan.rb --help. Эта команда покажет все доступные ключи и литеры.

Для запуска простой проверки можно использовать команду:

ruby ./wpscan.rb --url какой-то-сайт.ру

В общем WPScan - довольно простая в использовании утилита для проверки своего сайта на "ВордПресс" на уязвимости.

Nikto

Программа проверка сайта на уязвимости, которая также имеется в дистрибутиве Kali Linux. Обладает богатым функционалом при всей своей простоте:

  • сканирование по протоколам с HTTP и HTTPS;
  • обход многих встроенных инструментов обнаружения;
  • множественное сканирование портов, даже в нестандартном диапазоне;
  • поддержка использования прокси-серверов;
  • имеется возможность реализации и подключения плагинов.

Для запуска nikto нужно, чтобы в системе был установлен perl. Простейший анализ выполняется так:

perl nikto.pl -h 192.168.0.1.

Программе можно «скормить» текстовый файл, в котором перечислены адреса веб-серверов:

perl nikto.pl -h file.txt

Данная утилита поможет не только специалистам по безопасности для проведения пентестов, но и администраторам сетей и ресурсов для поддержания работоспособности сайтов.

Burp Suite

Очень мощный инструмент для проверки не только сайтов, но мониторинга любой сети. Обладает встроенной функцией модификации передаваемых запросов на тестируемый сервер. Умный сканер, способный в автоматическом режиме искать по нескольку типов уязвимостей сразу. Имеется возможность сохранить результат текущей деятельности, а затем возобновить её. Гибкость, позволяющая не только использовать сторонние плагины, но и писать свои.

Утилита имеет собственный графический интерфейс, что, несомненно, удобно, особенно для начинающих пользователей.

SQLmap

Наверное, самый удобный и мощный инструмент для поиска SQL и XSS уязвимостей. Список его достоинств можно выразить так:

  • поддержка практически всех видов систем управления базами данных;
  • умение использовать шесть основных способов определения и применения SQL-инъекций;
  • режим перебора пользователей, их хешей, паролей и других данных.

Перед использованием SQLmap обычно сначала находят уязвимый сайт посредством дорков — заготовок запросов поисковых систем, помогающих ориентировочно отсеять необходимые веб-ресурсы.

Затем адрес страниц передаётся программе, и она проводит проверку. При успешном определении уязвимости утилита может сама её и использовать, получая полный доступ к ресурсу.

Webslayer

Небольшая утилита, которая позволяет провести атаку перебором. Может «брутфорсить» формы ресурса, сессии, параметры сайта. Поддерживает многопоточность, что отлично сказывается на производительности. Также может рекурсивно подбирать пароли во вложенных страницах. Имеется поддержка прокси.

Ресурсы для проверки

В сети присутствует несколько инструментов для проверки уязвимости сайтов онлайн:

  • coder-diary.ru. Простой сайт для тестирования. Достаточно ввести адрес проверяемого ресурса и нажать «Проверить». Поиск может занять длительное время, поэтому есть возможность указать адрес своей электронной почты для того, чтобы по завершении проверки результат пришёл прямо в ящик. В базе сайта имеется около 2500 известных уязвимостей.
  • https://cryptoreport.websecurity.symantec.com/checker/. Онлайн-сервис проверки наличия сертификата SSL и TLS от компании Symantec. Требуется только адрес проверяемого ресурса.
  • https://find-xss.net/scanner/. Проект сканирует отдельный файл PHP сайтов на уязвимости или их архив в формате ZIP. Можно указать типы проверяемых файлов и символы, по которым экранируются данные в скрипте.
  • http://insafety.org/scanner.php. Сканер для тестирования сайтов на платформе "1С-Битрикс". Простой и понятный интерфейс.

Алгоритм проведения проверки на уязвимости

Любой специалист по сетевой безопасности выполняет проверку по простому алгоритму:

  1. Сначала он вручную или с помощью автоматизированных инструментов анализирует, имеются ли на сайте уязвимости. Если да, то он определяет их тип.
  2. В зависимости от разновидности присутствующей уязвимости выстраивает дальнейшие ходы. Например, если известна CMS, то подбирается соответствующий метод атаки. Если же это SQL-инъекция, то подбираются запросы в базу данных.
  3. Главной задачей является получение привилегированного доступа к административной панели. Если же такового добиться не удалось, может стоит попробовать формы и подделку адреса с внедрением в него скрипта с последующей передачей жертве.
  4. Если какая-либо атака или проникновение удалось, то начинается сбор данных: имеются ли ещё уязвимости, какие недочёты присутствуют.
  5. На основе полученных данных специалист по безопасности сообщает владельцу сайта о существующих проблемах и способах их устранения.
  6. Уязвимости устраняются его руками или с привлечением сторонних мастеров.

Несколько советов по безопасности

Тем, кто самостоятельно занимается разработкой собственного сайта, помогут это простые советы и рекомендации.

Входящие данные нужно фильтровать таким образом, чтобы скрипты или запросы не могли запуститься автономно или отдать данные из базы.

Использовать сложные и стойкие пароли для входа в административную панель, чтобы избежать возможного брутфорса.

Если сайт строится на основе какой-либо CMS, нужно как можно чаще обновлять её и применять только проверенные плагины, шаблоны и модули. Не стоит перегружать сайт ненужными компонентами.

Чаще проверять журналы сервера на наличие подозрительных вхождений или действий.

Проверить собственный сайт несколькими сканерами и сервисами.

Правильная настройка сервера — залог его стабильной и безопасной работы.

По возможности нужно использовать сертификат SSL. Это позволит избежать перехвата личных и конфиденциальных данных между сервером и пользователем.

Инструменты для обеспечения безопасности. Имеет смысл установить или подключить программные средства для предотвращения проникновений и внешних угроз.

Заключение

Статья получилась объёмная, однако даже её не хватит для описания в подробностях всех аспектов сетевой безопасности. Для того чтобы справиться с задачей защиты информации, придётся изучить немало материалов и инструкций. А также освоить кучу инструментов и технологий. Можно обратиться за советом и помощью к профессиональным компаниям, которые специализируются на проведении пентестов и аудита веб-ресурсов. Хотя такие услуги и выльются в неплохую сумму, все же безопасность сайта может быть гораздо дороже как в экономическом плане, так и в репутационном.

fb.ru

Автоматический поиск уязвимостей - «Хакер»

Ты наверное до сих пор думаешь, что хакеры ищут уязвимости в программныхпродуктах в ручную, постоянно смотря в исходный код или ручками вставляяспецсимволы в переменные скриптов? Ты глубоко ошибаешься, мой дорогой друг.Существует масса пауков сканеров и вспомогательных программ, которые позволяютпо максимуму сократить время исследования. Конечно, многие из них стоят кучуденег. поэтому достать их проблематично (хотя вполне реально, те же Xspider,Nessus), другие же не обладают нужной функциональностью. Но всегда есть золотаясередина. Сейчас я поведаю о очень полезных бесплатных программках которыеокажут отличную помощь взломщику, а также затронем тему локального поискауязвимостей в исходниках вебскриптов.

RPVS — во Франции также есть хакеры

Платформа: WindowsСсылка: http://81.57.125.106/~slythers/rpvsinstall.exe

Скромную заметку о этой программе я на днях отыскал на одном элитноммеждународном хакерском форуме. Программа однозначно из класса Must Have. Темболее, что софтина имеет как консольный, так и графический интерфейс. Полное ееназвание — Remote PHP Vulnerability Scanner. Этот сканер затачивался подудаленное исследование сайтов написанных на PHP. Программа способна находитьтакие уязвимости: XSS, SQL-Injection, уязвимости подключения файлов функциямиinclude() и fopen() и раскрытия инсталляционного пути. Программа работает как сGET, так и POST запросами. Имеет несколько режимов работы и отличную скоростьсканирования. Принцип ее работы состоит в полном собрании линков с сайта, послечего подставляют спецсимволы в переменные и проводится анализ на показанных PHPошибках и сигнатурах. Протестировав ее на одном из небольших сайтов, я получилподробный отчет о найденных уязвимостях.

Rapport on http://test3.ru/

Number of made request: 24vuln include: 0vuln xss: 12err fopen: 0err inc: 0err sql: 0—————————————————-Vuln XSS :/?year=2006&month=02&day=6941337<a>%22%27/?year=6941337<a>%22%27&month=01/?year=6941337<a>%22%27&month=02&day=05/?year=2006&month=6941337<a>%22%27&day=05/?year=6941337<a>%22%27&month=03/?year=6941337<a>%22%27&month=02/?year=6941337<a>%22%27&month=12

Vuln SQL : /?id=6941337<a>%22%27/?id=15&c=6941337<a>%22%27—Видишь, неплохой отчет. Автоматизация — отличный процесс, который неплохоэкономит время и нервы. Да, кстати, в сети есть вполне компилируемые исходникиэтой чудо программы — http://81.57.125.106/~slythers/rpvsv1.3-src.rar.

В некоторых случаях, когда масштабное сканирование не удается произвести, работуможно полуавтомазировать с помощью такого софта как Mini-Browser (http://www.aignes.com)и Advanced HTTP Header Constructor 1.2 (http://www.ru24-team.net).Программы умеют многое и в любом случае тебе понадобятся, Mini-Browser позволяетподделывать POST/GET запросы и кукисы, а также вытаскивать все ссылки настранице. В программу встроен браузер (на движке ИЕ), что делает работу ещеудобнее. Ну а эстеты могут посмотреть на других вкладках исходник или логКлиент-Сервер. Advanced HTTP Header Constructor работает с HTTP-заголовками,позволяет составлять/подделывать/отсылать POST и GET заголовки, а также многоедругое. Для установки нужен свежий Framework.

Acunetix Web Vulnerability Scanner 3 — Достойная замена XSpider

Платформа: WindowsСсылка:http://www.acunetix.com/vulnerability-scanner/vulnerabilityscanner3.exe

Когда-то просматривая каталог линков с astalavista.box.sk я и наткнулся наэту программу. Ее описание мне пришлось по вкусу. По своим возможностям она дажепревосходит XSpider. Acunetix Web Vulnerability Scanner — cканер уязвимостейвэб-сайтов, сканирует как комплексно так и профильно, то есть Cross sitescripting, SQL injection, cgi-test, CRLF Injection, Directory traversal,Authentication hacking. Также в сканере присутствует очень интересный тип атаки— Google hacking на определенный сайт. Этот тип атаки использует поисковыесистемы для поиска уязвимостей, что очень полезно и оригинально. Сканер такжеотлично определяет версии веб-сервера и его модули. Плюс в него встроеныразличные перекодировщики и шифровальщик, HTTP снифер и средства подменызаголовков. Этот софт обязательно должен поселится в джентльменском наборехакера. Так что не поленись, скачай и зацени! Плохо лишь одно, как и всепрограммные продукты подобного рода, этот софт стоит больших денег (1500$). Новсе лечится, защита там слабенькая. Тем более обновление доступно и вtrial-версии. Кто ищет, тот всегда найдет. Я нашел 🙂

Google – Величайший сканер уязвимостей

С помощью поисковых систем, на самом деле, очень удобно искать нужныеуязвимые скрипты. Нужно только вспомнить о эпидемии червячка Santy, которыйискал в Google все бажные phpBB форумы. Подробнее о червячке можно почитатьздесь — http://www.f-securлe.com/v-descs/santy_a.shtml. Также примеры реализацииподобных сканеров ты найдешь на сайте команды AntiSecurity (http://antisec.2×4.ru).Так что при грамотном написании программы и хорошей уязвимости, хакер получаетконтроль над огромным количеством сайтов.

Теперь мне бы хотелось затронуть тему переполнения буфера. Искать уязвимоститакого типа вручную можно несколько лет, так что будем автоматизировать 🙂Кстатиь, компания eyee.com утверждает, что большинство уязвимостей они нашлиавтоматически, используя специальное программное обеспечение.

RATS — Грубый Инструмент Ревизии для Защиты

Платформа: WindowsСсылка: http://www.securesoftware.com/rats/

RATS, Rough Auditing Tool for Security (Грубый Инструмент Ревизии для Защиты)является утилитой ревизии защиты для C и C ++ кода. RATS просматривает исходныйтекст, находя потенциально опасные обращения к функциям. Цель этого инструмента— не окончательный поиск ошибки, а скорее обеспечение разумной отправной точкидля выполнения ручной ревизий защиты. Мой хороший знакомый уже давно пользуетсяданной программой и очень доволен ее результатами. И еще конечно же радуетоткрытость ее исходного кода.

Также следует обратить внимание на аналогичный софт под названием ITS4 (http://www.securitylab.ru/_tools/its4-1.1.1.tgz).Этот инструмент командной строки ищет уязвимости C и C ++ кода и работает наплатформах Windows и Unix. Есть еще одна полезная программа из данного класса —Flawfinder (http://www.dwheeler.com/flawfinder/).В отличие от ITS4, flawfinder имеет полностью открытое программное обеспечение(распространяется согласно лицензии GPL).

BofCheck — Buffer Overflow, Environment Variables Overflow/Format StringVulnerabilities Binary Tester

Платформа: FreeBSDСсылка: http://oc192.1afm.com/

BofCheck используется для проверки программ на наличие основных уязвимостей.Программа проверяет переполнение буфера и уязвимости в параметрах команднойстроки. Софтину стоит использовать только когда нет под рукой исходного кода илипоиск в нем не дал результатов.

Qaudit — Perl приходит на помощь

Оказывается классные вещи можно написать на интерпретируемом языке Perl.Qaudit.pl — сценарий для быстрой ревизии C и C ++ исходных файлов на наличиепереполнения буфера, ошибок форматной строки, запросов исполняемых вызовов,переменных среды, и разных функций, которые часто имеют проблемы защиты. Лично яне ожидал от скрипта таких возможностей 🙂 Кстати, на Perl написано множествополезных программ, таких как cgi-сканеры, эксплоиты, и даже IDS системы!Скачивай скриптик от сюда —http://www.SecurityLab.ru/_exploits/other/qaudit.txt.

Между прочим

Что касается глобальной автоматизации, то автоматизировать можно все. Нонужно ли это? Не всегда автоматизация помогает, так что ты сам должен решатькаждый раз как действовать. В статье я специально не рассмотрел популярный софт,такой как XSpider, Hydra и им подобные, о них многие знают, да и писать быпришлось целую книгу. Более подробно о способах внутреннего обследования системыможешь почитать в моей статье "Демократичныйхостинг".

xakep.ru

поиск уязвимостей, сетевые сканеры, дебаггеры, уязвимости в скриптах

В данном обзоре рассматриваются бесплатные сканеры защищенности веб-сайтов — дается их определение, описывается принцип работы, приводятся краткие обзоры продуктов.

 

 

 

 

 

 

1. Введение

2. Что такое сканеры защищенности веб-сайтов

3. Принцип работы сканеров защищенности веб-сайтов

4. Категории сканеров защищенности веб-сайтов

5. Краткий обзор бесплатных сканеров защищенности веб-сайтов

5.1. Сетевые сканеры

5.1.1. Nmap

5.1.2. IP Tools

5.2. Сканеры поиска уязвимостей в веб-скриптах

5.2.1. Nikto

5.2.2. Skipfish

5.2.3. Wapiti

5.3. Средства поиска эксплойтов

5.3.1. Metasploit Framework

5.3.2. Nessus

5.4. Средства автоматизации инъекций

5.4.1. SQLMap

5.4.2. bsqlbf-v2

5.5. Дебаггеры

5.5.1. Burp Suite

5.5.2. Fiddler

5.6. Универсальные сканеры

5.6.1. Web Application Attack and Audit Framework (w3af)

5.6.2. N-Stalker Web Application Security Scanner X Free Edition

6. Выводы

 

 

Введение

В современном бизнесе веб-технологии приобрели огромную популярность. Большинство сайтов крупных компаний представляют собой набор приложений, обладающих интерактивностью, средствами персонализации, средствами взаимодействия с клиентами (интернет-магазины, дистанционное банковское обслуживание), а нередко — и средствами интеграции с внутренними корпоративными приложениями компании.

Однако как только веб-сайт становится доступным в интернете, он превращается в мишень для кибератак. Наиболее простым способом атак на веб-сайт сегодня является использование уязвимостей его компонентов. И основная проблема заключается в том, что уязвимости стали вполне обычным явлением для современных сайтов.

Уязвимости представляют собой неизбежную и растущую угрозу. Они, по большей части, являются результатами дефектов безопасности в коде веб-приложения и неправильной конфигурации компонентов веб-сайта.

Приведем немного статистики. По данным из отчета о киберугрозах за первое полугодие 2016 года High-Tech Bridge releases web security trends of the first half of 2016, подготовленного компанией High-Tech Bridge:

  • свыше 60% веб-сервисов или API для мобильных приложений содержат по крайней мере одну опасную уязвимость, позволяющую скомпрометировать базу данных;
  • 35% уязвимых к XSS-атакам сайтов также уязвимы к SQL-инъекциям и XXE-атакам;
  • 23% сайтов содержат уязвимость POODLE, и только 0,43% — Heartbleed;
  • в 5 раз участились случаи эксплуатации опасных уязвимостей (например, позволяющих осуществить SQL-инъекцию) в ходе атак RansomWeb;
  • 79,9% веб-серверов имеют неправильно сконфигурированные или небезопасные заголовки http;
  • актуальные на сегодняшний день необходимые обновления и исправления установлены только на 27,8% веб-серверов.

Для защиты веб-ресурсов специалисты по информационной безопасности используют различный набор средств. Например, для шифрования трафика применяют SSL-сертификаты, а на периметре веб-серверов устанавливают Web Application Firewall (WAF), которые требуют серьезной настройки и долгого самообучения. Не менее эффективным средством обеспечения безопасности веб-сайтов является и периодическая проверка состояния защищенности (поиск уязвимостей), а инструментами для проведения таких проверок служат сканеры защищенности веб-сайтов, о которых и пойдет речь в этом обзоре.

На нашем сайте уже был обзор, посвященный сканерам защищенности веб-приложений — «Сканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире», в котором рассматривались продукты лидеров рынка. В настоящем обзоре мы уже не будем затрагивать эти темы, а сфокусируем внимание на обзоре бесплатных сканеров защищенности веб-сайтов.

Тема бесплатного программного обеспечения сегодня особенно актуальна. Из-за нестабильной экономической ситуации в России сейчас во многих организациях (как и в коммерческих, так и в госсекторе) идет оптимизация ИТ-бюджета, и средств на покупку дорогих коммерческих продуктов для анализа защищенности систем зачастую не хватает.  При этом существует множество бесплатных  (free, open source) утилит для поиска уязвимостей, о которых люди просто не знают. Причем некоторые из них не уступают по функциональным возможностям своим платным конкурентам. Поэтому в этой статьей расскажем о наиболее интересных бесплатных сканерах защищенности веб-сайтов.

 

Что такое сканеры защищенности веб-сайтов

Сканеры защищенности веб-сайтов — это программные (программно-аппаратные) средства, осуществляющие поиск дефектов веб-приложений (уязвимостей), которые приводят к нарушению целостности системных или пользовательских данных, их краже или получению контроля над системой в целом.

С помощью сканеров защищенности веб-сайтов можно обнаружить уязвимости следующих категорий:

  • уязвимости этапа кодирования;
  • уязвимости этапа внедрения и конфигурирования веб-приложения;
  • уязвимости этапа эксплуатации веб-сайта.

К уязвимостям этапа кодирования относятся уязвимости, связанные с некорректной обработкой входных и выходных данных (SQL-инъекции, XSS).

К уязвимостям этапа внедрения веб-сайта относятся уязвимости, связанные с некорректными настройками окружения веб-приложения (веб-сервера, сервера приложений, SSL/TLS, фреймворк, сторонние компоненты, наличие DEBUG-режима и т. п.).

К уязвимостям этапа эксплуатации веб-сайта относятся уязвимости, связанные с использованием устаревшего ПО, простых паролей, хранением архивных копий на веб-сервере в общем доступе, наличием в общем доступе служебных модулей (phpinfo) и т.п.

 

Принцип работы сканеров защищенности веб-сайтов

В общем случае принцип работы сканера защищенности веб-сайтов заключается в следующем:

  • Сбор информации об исследуемом объекте.
  • Аудит программного обеспечения веб-сайта на предмет уязвимостей по базам уязвимостей.
  • Выявление слабых мест системы.
  • Формирование рекомендаций по их устранению.

 

Категории сканеров защищенности веб-сайтов

Сканеры защищенности веб-сайтов, в зависимости от их предназначения, можно разделить на следующие категории (типы):

  • Сетевые сканеры — данный тип сканеров раскрывает доступные сетевые сервисы, устанавливает их версии, определяет ОС и т. д.
  • Сканеры поиска уязвимостей в веб-скриптах — данный тип сканеров осуществляет поиск уязвимостей, таких как SQL inj, XSS, LFI/RFI и т. д., или ошибок (не удаленные временные файлы, индексация директорий и т. п.).
  • Средства поиска эксплойтов — данный тип сканеров предназначен для автоматизированного поиска эксплойтов в программном обеспечении и скриптах.
  • Средства автоматизации инъекций — утилиты, которые конкретно занимаются поиском и эксплуатацией инъекций.
  • Дебаггеры  — средства для исправления ошибок и оптимизации кода в веб-приложении.

Существуют также и универсальные утилиты, которые включают в себя возможности сразу нескольких категорий сканеров.

Далее будет приведен краткий обзор бесплатных сканеров защищенности веб-сайтов. Поскольку бесплатных утилит очень много, в обзор включены только самые популярные бесплатные инструменты для анализа защищенности веб-технологий. При включении в обзор той или иной утилиты анализировались специализированные ресурсы по тематике безопасности веб-технологий:

 

Краткий обзор бесплатных сканеров защищенности веб-сайтов

 

Сетевые сканеры

Nmap

 

Тип сканера: сетевой сканер.

Nmap (Network Mapper) — это бесплатная утилита с открытым исходным кодом. Она предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети, а также портов и соответствующих им служб. Для этого Nmap использует много различных методов сканирования, таких как UDP, TCP connect, TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование.

Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удаленного хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации, а также произвольное указание IP-адресов и номеров портов сканируемых сетей.

Nmap получил статус Security Product of the Year от таких журналов и сообществ, как Linux Journal, Info World, LinuxQuestions.Org и Codetalker Digest.

Платформа: утилита кросс-платформенна.

Подробнее со сканером Nmap можно ознакомиться здесь.

 

IP Tools

 

Тип сканера: сетевой сканер.

IP Tools — это анализатор протоколов, поддерживающий правила фильтрации, адаптер отбора, декодирование пакетов, описание протокола и многое другое. Подробная информацию о каждом пакете содержится в дереве стиля, меню по щелчку правой кнопкой мыши позволяет сканировать выбранный IP-адрес.  

В дополнение к пакетному снифферу, IP Tools предлагает полный набор сетевых инструментов, включая адаптер статистики, мониторинг IP-трафика и многое другое.

Подробнее со сканером IP-Tools можно ознакомиться здесь.

Платформа: Windows.

 

Top 100 Network Security Tools  — топ-100 утилит для сетевой безопасности.

 

Сканеры поиска уязвимостей в веб-скриптах

 

Nikto

 

Тип сканера: сканер поиска уязвимостей в веб-скриптах.

Nikto — бесплатный сканер, который осуществляет всеобъемлющее тестирование веб-серверов на уязвимости, в том числе проверяет наличие более 6500 потенциально опасных файлов и CGI, определяет устаревшие версии более 1250 различных веб-серверов, а также отображает специфические проблемы для более чем 270 версий серверов. Сканер также определяет типичные ошибки в конфигурации веб-сервера, в том числе наличие нескольких индексных файлов, опции HTTP-сервера, после чего пытается составить максимально полный список версий программ и модулей на сервере. Список сканируемых объектов в Nikto реализован в виде подключаемых плагинов и часто обновляется (эти плагины не являются open source).

Сканер Nikto спроектирован для работы в скрытном режиме: он осуществляет сканирование максимально быстро, записывая результаты в лог. Версия 2.1.5 содержит исправления нескольких багов, а также новые функции и новые виды проверок. Среди самого важного — распознавание IP в HTTP-заголовках, автоматическая проверка доступных файлов после парсинга robots.txt, проверка иконок в <link>, проверка уязвимостей с crossdomain.xml и clientaccesspolicy.xml. Среди новых опций программы — установка максимального времени сканирования хоста (в секундах) для маскировки сканирования, повтор сохраненных JSON-запросов с помощью replay.pl, поддержка SSL-сертификатов на стороне клиента, более продвинутое тестирование за счет автоматического добавления переменных в db_variables после парсинга robots.txt или других страниц.

Стоит также отметить, что свободный движок Nikto используется в коммерческих сканерах уязвимостей Edgeos и HackerTarget.com.

Платформа: MacOS, Linux, Windows.

Подробнее со сканером Nikto можно ознакомиться здесь.

 

Skipfish

 

Тип сканера: сканер поиска уязвимостей в веб-скриптах.

Кросс-платформенный сканер веб-уязвимостей Skipfish от программиста Michal Zalewski  выполняет рекурсивный анализ веб-приложения и его проверку на базе словаря, после чего составляет карту сайта, снабженную комментариями об обнаруженных уязвимостях.

Разработка инструмента ведется внутри компании Google.

Сканер осуществляет детальный анализ web-приложения. Также существует возможность создания словаря для последующего тестирования этого же приложения. Подробный отчет Skipfish содержит информацию об обнаруженных уязвимостях, URL ресурса, содержащего уязвимость, а также переданный запрос. В отчете полученные данные отсортированы по уровню опасности и по типу уязвимости. Отчет формируется в html-формате.

Стоит отметить, что сканер веб-уязвимостей Skipfish генерирует очень большой объем трафика, а сканирование происходит очень долго.

Платформы: MacOS, Linux, Windows.

Подробнее со сканером Skipfish можно ознакомиться здесь.

 

Wapiti

 

Тип сканера: сканер поиска уязвимостей в веб-скриптах.

Wapiti — это консольная утилита для аудита веб-приложений. Работает по принципу «черного ящика» (blackbox).

Wapiti функционирует следующим образом: сначала WASS-сканер анализирует структуру сайта, ищет доступные сценарии, анализирует параметры. После Wapiti включает фаззер и продолжает сканирование до тех пор, пока все уязвимые скрипты не будут найдены.

WASS-сканер  Wapiti  работает со следующими типами уязвимостей:

  • File disclosure (Local and remote include/require, fopen, readfile).
  • Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections).
  • XSS (Cross Site Scripting) injection (reflected and permanent).
  • Command Execution detection (eval(), system(), passtru()…).
  • CRLF Injection (HTTP Response Splitting, session fixation…).
  • XXE (XmleXternal Entity) injection.
  • Use of know potentially dangerous files.
  • Weak .htaccess configurations that can be bypassed.
  • Presence of backup files giving sensitive information (source code disclosure).

Wapiti входит в состав утилит дистрибутива Kali Linux. Можно скачать исходники с SourceForge и использовать на любом дистрибутиве, основанном на ядре Linux. Wapiti поддерживает GET и POST HTTP методы запросов.

Платформы: Windows, Unix, MacOS.

Подробнее со сканером Wapiti можно ознакомиться здесь.

 

Web Application Security Scanner List by WebAppSec — список сканеров защищенности веб-сайтов от организации WebAppSec.

 

Средства поиска эксплойтов

 

Metasploit Framework

 

Тип сканера: средства поиска эксплойтов.

Простая в использовании платформа проникновения, содержащая описание новейших угроз, дополненная функциями автоматического обновления и расширяемая с помощью известного языка Perl. Metasploit Framework очень пригодится специалистам по сетевой безопасности для эмуляции угроз.

Metasploit — механизм на базе сценариев Perl, с помощью которого можно применять множество методов проникновения для различных платформ и приложений. Помимо набора методов проникновения через известные лазейки, Metasploit позволяет переслать в обнаруженную брешь конкретную программу.

Metasploit Framework расширяется с использованием модулей Perl, поэтому можно подготовить собственные средства проникновения, включить их в инфраструктуру и воспользоваться готовой подходящей программой использования.

Подробнее со сканером Metasploit Framework можно ознакомиться здесь.

 

Nessus

 

Категория сканера: сетевой сканер и средство поиска эксплойтов.

Сканер Nessus является мощным и надежным средством, которое относится к семейству сетевых сканеров, позволяющих осуществлять поиск уязвимостей в сетевых сервисах, предлагаемых операционными системами, межсетевыми экранами, фильтрующими маршрутизаторами и другими сетевыми компонентами. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации и функционировании сети, так и специальные средства, эмулирующие действия злоумышленника по проникновению в системы, подключенные к сети.

Платформы: кросс-платформенное программное обеспечение.

Подробнее со сканером Nessus можно ознакомиться здесь.

 

Top 10 Web Vulnerability Scanners — топ-10 сканеров уязвимостей веб-сайтов.

 

Средства автоматизации инъекций

 

SQLMap

 

Тип сканера: средство автоматизации инъекций.

Бесплатный сканер с открытым исходным кодом, главная задача которого — автоматизированный поиск SQL-уязвимостей. SQLMap позволяет не только обнаруживать уязвимости, но и при возможности эксплуатировать их. SQLMap поддерживает большое количество СУБД.

К функциональным возможностям  SQLMap относятся:

  • Поиск инъекций: boolean-based blind, time-based blind, error-based, UNION query и stacked queries.
  • Возможность работы с конкретным URL либо со списком.
  • Проверка параметров, передаваемых методами GET и POST.
  • Работа в многопотоковом режиме.
  • Интеграция с другими инструментами для анализа веб-приложений — Metasploit и w3af.
  • Возможность получения полезной информации о приложении и сервере (fingerprint).

Платформы: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB и HSQLDB.

Подробнее со сканером SQLMap можно ознакомиться здесь.

 

bsqlbf-v2

 

Тип сканера: средство автоматизации инъекций.

bsqlbf-v2 — скрипт, написанный на языке Perl. Брутфорсер «слепых» SQL-инъекций. Сканер работает как с integer-значениями в url, так и со строковыми (string).

Платформы: MS-SQL, MySQL, PostgreSQL, Oracle.

Подробнее со сканером bsqlbf-v2 можно ознакомиться здесь.

 

Дебаггеры

 

Burp Suite

 

Тип сканера: дебаггер.

Burp Suite — это набор относительно независимых кросс-платформенных приложений, написанных на Java.

Ядром комплекса является модуль Burp Proxy, выполняющий функции локального прокси-сервера; остальные компоненты набора — это Spider, Intruder, Repeater, Sequencer, Decoder и Comparer. Все составляющие связаны между собой в единое целое таким образом, что данные могут быть отправлены в любую часть приложения, например, из Proxy в Intruder для проведения различных проверок над веб-приложением, из Intruder в Repeater — для более тщательного ручного анализа HTTP-заголовков.

Платформы: кросс-платформенное программное обеспечение.

Подробнее со сканером Burp Suite можно ознакомиться здесь.

 

Fiddler

Тип сканера: дебаггер.

Fiddler — это отладочный прокси, логирующий весь HTTP(S)-трафик. Инструмент позволяет исследовать этот трафик, устанавливать breakpoint и «играться» с входящими или исходящими данными.

Функциональные особенности Fiddler:

  • Возможность контроля всех запросов, файлов cookie, передаваемых параметров интернет-браузерами.
  • Функция изменения ответов сервера «на лету».
  • Возможность манипулировать заголовками и запросами.
  • Функция изменения ширины канала.

Платформы: кросс-платформенное программное обеспечение.

Подробнее со сканером Fiddler можно ознакомиться здесь.

 

Top 10 Vulnerability Scanners— топ-10 сканеров уязвимостей.

 

Универсальные сканеры

 

Web Application Attack and Audit Framework (w3af)

 

Тип сканера: сканер поиска уязвимостей в веб-скриптах, средство поиска эксплойтов.

Web Application Attack and Audit Framework  (w3af) — это WASS-сканер (фреймворк) с открытым исходным кодом. WASS-сканер написан на Python, поэтому с успехом запускается и под Windows, и под *NIX, и под MacOS. Для инсталляции необходим установленный интерпретатор Python. В распоряжении пользователя как графический (с использованием GTK), так и консольный интерфейсы.

Подавляющую часть функциональности платформы составляют плагины (на данный момент уже более 100). Они делятся на группы:

  • audit — плагины, которые непосредственно ищут уязвимости на веб-сервере;
  • bruteforce — плагины для перебора логинов и паролей веб-форм и BasicAuth;
  • discovery — плагины для сбора информации: версия веб-сервера, версия ОС, ссылки, пользователи, почтовые ящики;
  • evasion — плагины, которые изменяют запросы к веб-серверу для преодоления фильтрации, типа кавычек и прочего;
  • grep — плагины для анализа запросов и ответов веб-сервера;
  • mangle — плагины для изменения запросов к веб-серверу «на лету».

Плагины, имеющиеся в w3af, делятся на 3 типа: для исследований, для аудита и для проведения атак.

Платформы: Windows, Unix, MacOS.

Подробнее со сканером Web Application Attack and Audit Framework  (w3af) можно ознакомиться здесь.

 

N-Stalker Web Application Security Scanner X Free Edition

 

Тип сканера: сканер поиска уязвимостей в веб-скриптах, средство поиска эксплойтов.

Эффективный инструмент для веб-служб — N-Stealth Security Scanner компании N-Stalker. Компания продает более полнофункциональную версию N-Stealth, но бесплатная пробная версия вполне пригодна для простой оценки. Платный продукт располагает более чем 30 тыс. тестов системы безопасности веб-серверов, но и бесплатная версия обнаруживает более 16 тыс. конкретных пробелов, в том числе уязвимые места в таких широко распространенных веб-серверах, как Microsoft IIS и Apache. Например, N-Stealth отыскивает уязвимые сценарии Common Gateway Interface (CGI) и Hypertext Preprocessor (PHP), использует атаки с проникновением в SQL Server, типовые кросс-сайтовые сценарии и другие пробелы в популярных веб-серверах.

N-Stealth поддерживает как HTTP, так и HTTP Secure (HTTPS — с использованием SSL), сопоставляет уязвимые места со словарем Common Vulnerabilities and Exposures (CVE) и базой данных Bugtraq, а также генерирует неплохие отчеты. N-Stealth используется для поиска наиболее распространенных уязвимых мест в веб-серверах и помогает определять самые вероятные направления атак.

Конечно, для более достоверной оценки безопасности веб-узла или приложений рекомендуется приобрести платную версию.

Подробнее со сканером N-Stealth можно ознакомиться здесь.

 

Выводы

Тестирование веб-сайтов на предмет выявления уязвимых мест — это хорошая превентивная мера. В настоящее время существует множество как коммерческих, так и свободно распространяемых сканеров защищенности веб-сайтов. При этом сканеры могут быть как универсальные (комплексные решения), так и специализированные, предназначенные только для выявления определенных типов уязвимостей.

Некоторые бесплатные сканеры являются довольно мощными инструментами  и показывают большую глубину и хорошее качество проверки веб-сайтов. Но перед тем как использовать бесплатные утилиты для анализа защищенности веб-сайтов, необходимо удостовериться в их качестве. Сегодня для этого уже есть множество методик (например, Web Application Security Scanner Evaluation Criteria, OWASP Web Application Scanner Specification Project).

Наиболее полную картину о защищенности той или иной инфраструктуры позволяют получить только комплексные решения. В некоторых случаях лучше применять несколько сканеров защищенности.

www.anti-malware.ru

XakSoft, Trojan, Видео уроки по Хаку

Поддержите проект www.xaker26.com WebMoney: R200299386989 или Z350462409894

       MGrab - просто оболденый грабер мыльников, мечта спамера ).depositfiles.com Пароль: 5555letitbit.net

      Havij 1.15 - Advanced SQL Injection - не плохая программа для сканирование сайтов на уязвимость SQL Inject. В примере дано простое сканирование на Админ панель сайта http://vazonez.com. Как пользоваться читаем здесьdepositfiles.com Пароль: 5555letitbit.net

      MySQLi Dumper v3.6 patched - не плохая программа для взлома сайтов. В ней есть как проанализировать сайт поиск дырок через google.com, Дампер, анализ на уязвимость SQL Inject, сканер на Админ панель и конечно свой Брутфорс. Как пользоваться читаем здесьdepositfiles.com Пароль: 5555letitbit.net

      GoogleParser - простой GoogleParser сайтов осуществляет поиск дырок по запросу в google.com. Как пользоваться читаем здесьdepositfiles.com Пароль: 5555letitbit.net

      YandexParser - простой Yandex парсер. Как пользоваться читаем здесьdepositfiles.com Пароль: 5555letitbit.net

      NetDeviLz SQL Scanner - SQL сканер сайтов на выявление открытых в доступе БД сайтов. Данная программа при первом запуске вроде как я проверял сперва канектится сюда http://www.google.com/toolbar/ie8/install.html и скачивает и устанавливает Вам google толбар но я так думаю эт в рекламных целей т.к разработчик проги тоже кушать хочет, а так прога полностью Бесплатна. Как пользоваться читаем здесьdepositfiles.com Пароль: 5555letitbit.net

      System info for Windows - с помощью данной утилиты Вы сможете узнать полную информацию о Вашей системе, железу, сделать тестирование Вашего железа, остановить не нужные процессы в Вашей винде в общем много чего качайте и разбирайтесь.depositfiles.com Пароль: 5555letitbit.net

       AoRe UnPack Tools - Набор программ для распаковки и просмотра содержимого практически любого выря. Теперь вы без проблем можете просмотреть содержимого трянца, который вам, подсунули или любую другую прогу и выудить из него необходимую информацию. Скрин не делаю, т.к. прога содерржит достаточно много распаковщиков с разным интерфейсом. Софт предоставил Riter3D.depositfiles.com Пароль: 5555letitbit.net

       Camoflauge 1.21 - пригодится вам, если необходимо скрыть какую-либо текстовую информацию. Она встраивается в контекстрое меню и с легкостью поможет вам вшить какой-нибудь текстовый документ, скажем в картинку. Работает по принципу стеганографии, те есть скрывает сам присутствие информации по средствам вшития его в другой файл. С такой же лёгкостью поможет вам вытащить её от туда. Скрытые файлы шифруются по алгоритму AES. Для работы программы требуется Microsoft .NET Framework 2.0 или выше. Софт любезно предоставил Riter3D.depositfiles.com Пароль: 5555letitbit.net

       OllyDbg 2.01 - 16-ричный, бесплатный отладчик под Windows, способный разобрать по запчастям и предоставить вам во всех прелестях асемблерного кода ваш исполнительный файл. Рекомендуется даже новичкам знакомых только с азами асемблерного кода. Имеет интуитивно понятный интерфейс. Наслаждайтесь. Софт любезно предоставил учасник нашего форума Riter3D.depositfiles.com Пароль: 5555letitbit.net

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

xaker26.com

Уязвимости сайтов. Проверка сайта. Программа для сканирования сайта на уязвимость

ruby ./wpscan.rb --help. Эта команда покажет все доступные ключи и литеры.

Для запуска простой проверки можно использовать команду:

ruby ./wpscan.rb --url какой-то-сайт.ру

В общем WPScan - довольно простая в использовании утилита для проверки своего сайта на "ВордПресс" на уязвимости.

Nikto

Программа проверка сайта на уязвимости, которая также имеется в дистрибутиве Kali Linux. Обладает богатым функционалом при всей своей простоте:

  • сканирование по протоколам с HTTP и HTTPS;
  • обход многих встроенных инструментов обнаружения;
  • множественное сканирование портов, даже в нестандартном диапазоне;
  • поддержка использования прокси-серверов;
  • имеется возможность реализации и подключения плагинов.

Для запуска nikto нужно, чтобы в системе был установлен perl. Простейший анализ выполняется так:

perl nikto.pl -h 192.168.0.1.

Программе можно «скормить» текстовый файл, в котором перечислены адреса веб-серверов:

perl nikto.pl -h file.txt

Данная утилита поможет не только специалистам по безопасности для проведения пентестов, но и администраторам сетей и ресурсов для поддержания работоспособности сайтов.

Burp Suite

Очень мощный инструмент для проверки не только сайтов, но мониторинга любой сети. Обладает встроенной функцией модификации передаваемых запросов на тестируемый сервер. Умный сканер, способный в автоматическом режиме искать по нескольку типов уязвимостей сразу. Имеется возможность сохранить результат текущей деятельности, а затем возобновить её. Гибкость, позволяющая не только использовать сторонние плагины, но и писать свои.

Утилита имеет собственный графический интерфейс, что, несомненно, удобно, особенно для начинающих пользователей.

SQLmap

Наверное, самый удобный и мощный инструмент для поиска SQL и XSS уязвимостей. Список его достоинств можно выразить так:

  • поддержка практически всех видов систем управления базами данных;
  • умение использовать шесть основных способов определения и применения SQL-инъекций;
  • режим перебора пользователей, их хешей, паролей и других данных.

Перед использованием SQLmap обычно сначала находят уязвимый сайт посредством дорков — заготовок запросов поисковых систем, помогающих ориентировочно отсеять необходимые веб-ресурсы.

Затем адрес страниц передаётся программе, и она проводит проверку. При успешном определении уязвимости утилита может сама её и использовать, получая полный доступ к ресурсу.

Webslayer

Небольшая утилита, которая позволяет провести атаку перебором. Может «брутфорсить» формы ресурса, сессии, параметры сайта. Поддерживает многопоточность, что отлично сказывается на производительности. Также может рекурсивно подбирать пароли во вложенных страницах. Имеется поддержка прокси.

Ресурсы для проверки

В сети присутствует несколько инструментов для проверки уязвимости сайтов онлайн:

  • coder-diary.ru. Простой сайт для тестирования. Достаточно ввести адрес проверяемого ресурса и нажать «Проверить». Поиск может занять длительное время, поэтому есть возможность указать адрес своей электронной почты для того, чтобы по завершении проверки результат пришёл прямо в ящик. В базе сайта имеется около 2500 известных уязвимостей.
  • https://cryptoreport.websecurity.symantec.com/checker/. Онлайн-сервис проверки наличия сертификата SSL и TLS от компании Symantec. Требуется только адрес проверяемого ресурса.
  • https://find-xss.net/scanner/. Проект сканирует отдельный файл PHP сайтов на уязвимости или их архив в формате ZIP. Можно указать типы проверяемых файлов и символы, по которым экранируются данные в скрипте.
  • http://insafety.org/scanner.php. Сканер для тестирования сайтов на платформе "1С-Битрикс". Простой и понятный интерфейс.

Алгоритм проведения проверки на уязвимости

Любой специалист по сетевой безопасности выполняет проверку по простому алгоритму:

  1. Сначала он вручную или с помощью автоматизированных инструментов анализирует, имеются ли на сайте уязвимости. Если да, то он определяет их тип.
  2. В зависимости от разновидности присутствующей уязвимости выстраивает дальнейшие ходы. Например, если известна CMS, то подбирается соответствующий метод атаки. Если же это SQL-инъекция, то подбираются запросы в базу данных.
  3. Главной задачей является получение привилегированного доступа к административной панели. Если же такового добиться не удалось, может стоит попробовать формы и подделку адреса с внедрением в него скрипта с последующей передачей жертве.
  4. Если какая-либо атака или проникновение удалось, то начинается сбор данных: имеются ли ещё уязвимости, какие недочёты присутствуют.
  5. На основе полученных данных специалист по безопасности сообщает владельцу сайта о существующих проблемах и способах их устранения.
  6. Уязвимости устраняются его руками или с привлечением сторонних мастеров.

Несколько советов по безопасности

Тем, кто самостоятельно занимается разработкой собственного сайта, помогут это простые советы и рекомендации.

Входящие данные нужно фильтровать таким образом, чтобы скрипты или запросы не могли запуститься автономно или отдать данные из базы.

Использовать сложные и стойкие пароли для входа в административную панель, чтобы избежать возможного брутфорса.

Если сайт строится на основе какой-либо CMS, нужно как можно чаще обновлять её и применять только проверенные плагины, шаблоны и модули. Не стоит перегружать сайт ненужными компонентами.

Чаще проверять журналы сервера на наличие подозрительных вхождений или действий.

Проверить собственный сайт несколькими сканерами и сервисами.

Правильная настройка сервера — залог его стабильной и безопасной работы.

По возможности нужно использовать сертификат SSL. Это позволит избежать перехвата личных и конфиденциальных данных между сервером и пользователем.

Инструменты для обеспечения безопасности. Имеет смысл установить или подключить программные средства для предотвращения проникновений и внешних угроз.

Заключение

Статья получилась объёмная, однако даже её не хватит для описания в подробностях всех аспектов сетевой безопасности. Для того чтобы справиться с задачей защиты информации, придётся изучить немало материалов и инструкций. А также освоить кучу инструментов и технологий. Можно обратиться за советом и помощью к профессиональным компаниям, которые специализируются на проведении пентестов и аудита веб-ресурсов. Хотя такие услуги и выльются в неплохую сумму, все же безопасность сайта может быть гораздо дороже как в экономическом плане, так и в репутационном.

загрузка...

aikido-mariel.ru

описание и статистика / Блог компании Pentestit / Хабрахабр

Пришло время подвести результаты автоматического сканирования, которое было анонсировано 3 недели назад. Было прислано несколько заявок на автоматический аудит, большинство сайтов представляли коммерческий сектор — интернет-магазины и корпоративные сайты.

Выбор инструмента

Для автоматического тестирования был выбран один из самых популярных opensource сканеров уязвимостей — w3af.

w3af или Web Application Attack and Audit Framework — это гибкая платформа для поиска и эксплуатации уязвимостей в веб-приложениях, работает на большинстве современных систем, написан на Python. Этот фреймворк иногда называют «Metasploit для веб».

Для упрощения процесса автоматизированного тестирования была взята консольная версия w3af_console. Как и в GUI версии, где всем управляют профили (состоящие из плагинов), в консольной версии все управление и настройки тоже зависит от подключенных плагинов в так называемом script файле.

Как это работает

Формат запуска настроенного скрипт-файла довольно прост: ./w3af_console ­-s MyScript.w3af Скрипт файл состоит из последовательности подключаемых видов плагинов и их параметров:plugins output console,text_file output output config text_file set output_file report.txt set verbose True back output config console set verbose False back crawl all crawl grep all grep audit all audit bruteforce all bruteforce back target set target http://targethost back start В представленном примере будут собраны все ссылки с сайта targethost, проанализированы запросы и ответы, комментарии, вывод ошибок, проверятся по базе знаний/признаков на наличие распространенных веб-уязвимостей, обнаруженные формы ввода будут подвергнуты bruteforce-атаке (подбор паролей) и результат будет сохранен в файл report.txt с полным выводом работы плагинов.

вывод подключаемых плагинов в ручном режиме в консоли w3af_console

Из чего состоит

В зависимости от типа воздействия существует несколько видов подключаемых плагинов:
  • attack — для реализации атаки, эксплойтинг. В автоматическом аудите не использовались.
  • audit — выявление уязвимостей веб-приложения, содержит плагины для поиска XSS, SQLi, CSRF, LFI, RFI, open redirects и многие другие. Часть плагинов использовалось в автоматическом аудите.
  • auth — плагины для задания параметров авторизации на исследуемом ресурсе. В автоматическом аудите не использовались.
  • bruteforce — плагины для проведения атаки «подбор по словарю» (bruteforce). В автоматическом аудите не использовались.
  • crawl — плагины для поиска и сбора информации, перебора имен файлов и директорий, использования поисковых систем, определения типа CMS, анализа форм для передачи в отделы audit/bruteforce/attack. Часть плагинов использовалось в автоматическом аудите.
  • evasion — плагины для обхода IDS, политик безопасности и WAF. В автоматическом аудите не использовались.
  • grep — плагины для анализа запросов/ответов веб-сервера, поиска критичной информации, вывода ошибок, комментариев в исходном коде и т.д. Часть плагинов использовалось в автоматическом аудите.
  • infrastructure — плагины для анализа настроек сервера, мисконфигураций, виртуальных хостов и т.д. Часть плагинов использовалось в автоматическом аудите.
  • mangle плагины для модификации запросов «на лету». В автоматическом аудите не использовались.
  • output — плагины для вывода и сохранения результатов работы. Часть плагинов использовалось в автоматическом аудите.
Готовые примеры скрипт-файлов под разные вектора атаки и тип воздействия вы можете найти здесь. Их работоспособность можно протестировать в специализированной уязвимой среде moth.

Статистика

Для проведения автоматического аудита был скомпонован script файл для поиска и выявления полной карты сайта, типа CMS, веб-сервера и поиск уязвимостей OWASP TOP-10, настроена система проверки легитимности и компоновки отчетности (резюмирующие рекомендации по найденным уязвимостям добавлялись сотрудниками нашей компании вручную, машина не может проанализировать вектора атаки и составить точный сценарий атаки).

скриншот системы добавления задания на автоскан

Из общего количества сайтов топ-5 по общему объему выявленных уязвимостей выглядит так:

  1. Утечка чувствительных данных — OWASP A6 (sensitive data exposure) — неверные конфигурации сертификатов, сюда же отнесены неправильно настроенные политики HSTS.
  2. Небезопасная конфигурация — OWASP A5 (security misconfiguration) — листинг директорий, настройки по-умолчанию, устаревшие версии ПО.
  3. Использование компонентов с известными уязвимостями — OWASP A9 (using components with known vulnerabilities) — было найдено несколько незакрытых уязвимостей, с доступными публичными эксплоитами.
  4. Межсайтовый скриптинг — OWASP A3 XSS (cross-site scripting) — было найдено несколько пассивных XSS.
  5. Внедрение кода — OWASP A1 (injection) — уязвимости типа SQL-injection все еще достаточно распространены.
Время сканирования ресурсов занимало от 10 минут до 2 суток. Несколько сайтов не выдержали нагрузки и автоматическое тестирование было остановлено до восстановления работоспособности. По всем выявленным уязвимостям были составлены отчеты, содержащие перечисление выявленных уязвимостей, вероятность компрометации веб-приложения и возможный сценарий атаки.

habrahabr.ru


Смотрите также