RačunalaSigurnosni

Ranjivosti web stranice. Web provjere. Program za skeniranje web stranice za ranjivosti

web stranica sigurnosni problem nikada nije bila kao akutna kao u 21. stoljeću. Naravno, to je zbog sveobuhvatne širenju Interneta u gotovo svim industrijama i područjima. Svaki dan, hakera i sigurnosni stručnjaci otkrili nekoliko novih ranjivosti web stranice. Mnogi od njih su odmah zatvorene vlasnici i poduzetnici, ali neki ostaju kao što je. Koji se koristi od strane napadača. No, pomoću sjeckan stranice mogu uzrokovati veliku štetu na oba svojih korisnika i poslužitelja na kojem je smješten.

Vrste web stranice ranjivosti

Kada stvorite web stranice koje koriste mnogo srodnih elektroničkih tehnologija. Neki su sofisticirani i vrijeme testiran, a neki su novi i nisu nosili. U svakom slučaju, ima dosta varijanti mjesta ranjivosti:

  • XSS. Svaka stranica ima mali obrazac. Oni pomažu korisnicima unos podataka i dobiti rezultat, registracija se vrši ili slati poruke. Zamjena u obliku posebnih vrijednosti može izazvati izvršenje određenog pisma, koja može uzrokovati povredu integriteta stranice i kompromitirajućih podataka.
  • SQL injection. Vrlo česte i učinkovit način da biste dobili pristup povjerljivim podacima. To se može dogoditi bilo kroz adresnoj traci ili putem obrasca. Proces se provodi zamjenom vrijednosti koje se ne mogu filtrirati skripte i upita bazi podataka. A uz odgovarajuće znanje može uzrokovati prijetnju sigurnosti.

  • HTML-pogreška. Gotovo isti kao kod XSS, ali ne ugrađen skriptu, i HTML.
  • Ranjivost stranice povezane s položajem datoteka i direktorija na zadane lokacije. Na primjer, znajući strukturu web stranica, možete doći kod uprave ploči.
  • Nedovoljna zaštita postavljanja operacijskog sustava na poslužitelju. Ako je bilo, ranjivost je prisutan, tada napadač trebao biti u mogućnosti za izvršavanje proizvoljnog koda.
  • Loše lozinke. Jedan od najočitijih ranjivosti web - korištenje slabe vrijednosti za zaštitu njihov račun. Pogotovo ako je administrator.
  • Buffer overflow. Nekada je prilikom zamjene podataka iz memorije, tako da mogu napraviti svoje vlastite prilagodbe. To se događa kada je uključenost nesavršenog softvera.
  • Zamjena odjeljke web-lokacije. Ponovno točnu kopiju web stranice prijavom na korisnika koji ne mogu biti osumnjičen trik i unesite svoje osobne podatke, nakon nekog vremena prolazi napadača.
  • Uskraćivanja usluga. Općenito se ovaj pojam podrazumijeva se napad na server kada primi veliki broj zahtjeva koji se ne mogu nositi, i jednostavno „padne” ili postane nesposoban služiti tim korisnicima. Ranjivost leži u činjenici da se IP filtar nije pravilno konfiguriran.

Skeniranje ranjivosti stranice

Sigurnosni stručnjaci proveli posebnu reviziju na web resurs za pogreške i nedostatke koji mogu dovesti do pucanja. Takav položaj provjera zove pentesting. Proces analize izvornog koda koji koristi CMS, prisutnost osjetljivih modula i mnogih drugih zanimljivih testova.

SQL injection

Ova vrsta poligonu određuje da li je skripta filteri primljenih vrijednosti u pripremi zahtjeva za baze podataka. Provesti jednostavan test može biti ručno. Kako pronaći SQL ranjivosti na stranicama? Tko će se raspravljati.

Na primjer, tu je stranica moja-sayt.rf. Na naslovnoj stranici ima katalog. Ide u nju, što se može naći u adresnoj traci nešto poput moje-sayt.rf /? Product_id = 1. Vrlo je vjerojatno da je to zahtjev u bazu podataka. Pronaći mjesto ranjivosti može prvo pokušati zamijeniti u redu jedan citat. Kao rezultat toga, trebao bi biti mina sayt.rf /? Product_id = 1”. Ako pritisnete tipku „Enter” na stranici, poruke o pogrešci, postoji ranjivost.

Sada možete koristiti različite opcije za odabir vrijednosti. Rabljeni kombinacija operateri iznimke, komentirajući i mnogi drugi.

XSS

Ova vrsta ranjivosti može biti od dvije vrste - aktivne i pasivne.

Aktivno znači uvođenje komad koda u bazi podataka ili u datoteku na poslužitelju. To je više opasna i nepredvidljiva.

Pasivni način rada uključuje mami žrtvu na određenu adresu stranice koje sadrže zlonamjerni kod.

Korištenje XSS napadač može ukrasti kolačiće. I oni mogu sadržavati važne podatke korisnika. Čak i više teške posljedice je ukraden sjednicu.

Također, napadač može koristiti skriptu na mjestu, tako da se formira u trenutku slanja dao korisniku informacije izravno u ruke napadača.

Automatizacija procesa za pretraživanje

Mreža se može naći mnogo zanimljivih ranjivosti stranice. Neki dolaze sami, neki dolaze s nekoliko sličnih i spojene u jednu sliku, kao što je Kali Linux. I dalje će dati pregled najpopularnijih alata za automatizaciju procesa prikupljanja informacija o ranjivosti.

Nmap

Najlakši web ranjivost skener koji može pokazati detalje kao što su operativni sustav koriste luke i usluga. Tipična područja primjene:

nmap -sS 127.0.0.1, gdje je umjesto potrebno je lokalna IP adresa zamijeniti pravi test stranice.

Zaključak izvješća o tome što su usluge trčanje na njega, a koji su portovi otvoreni u ovom trenutku. Na temelju tih podataka, možete pokušati iskoristiti već identificiran ranjivost.

Evo nekoliko tipke za Nmap pristranosti skeniranja:

  • -A. Agresivni skeniranje koje odbačeno mnogo informacija, ali to može potrajati dosta vremena.
  • -O. Ona se pokušava utvrditi operativni sustav koji se koristi na vašem poslužitelju.
  • D. Podvala IP adresu s koje provjerava se da se pri pregledu je bilo nemoguće poslužitelja prijavljuje bi se utvrdilo gdje je došlo do napada.
  • p. Raspon luka. Provjera nekoliko usluga za otvorena.
  • -S. To vam omogućuje da odredite ispravnu IP adresu.

WPScan

Ovaj program je za skeniranje stranice za ranjivosti uključenih u Kali Linux distribucije. Dizajniran za provjeru web resurse na WordPress CMS. što je pisano u Ruby, pa trčanje kao što je ovaj:

Ruby ./wpscan.rb help. Ova naredba će pokazati sve dostupne opcije i slova.

Naredba se može koristiti za pokretanje jednostavan test:

rubin ./wpscan.rb --url some-sayt.ru

U općem WPScan - prilično jednostavan za korištenje program za testiranje svoje stranice na „wordpress” ranjivosti.

Nikto

Program za mjesto provjere ranjivosti, što je također dostupan u Kali Linux distribucije. Ona pruža snažne mogućnosti za svoj svojoj jednostavnosti:

  • Ispitivanje protokol za HTTP i HTTPS;
  • zaobilazeći mnoge alate ugrađene detekcije;
  • višestruko skeniranje luka, čak i na ne-standardnog asortimana;
  • podržavaju upotrebu proxy poslužitelja;
  • moguće je provesti i spojne dodaci.

Za početak Nikto potrebu sustav je instaliran Perl. Najjednostavnija analiza je provedena na sljedeći način:

Perl nikto.pl -h 192.168.0.1.

Program se može „hraniti” tekstualnu datoteku s popisom adresu web-poslužitelja:

Perl nikto.pl -h file.txt

Ovaj alat ne samo da će pomoći sigurnosnih stručnjaka za obavljanje Pentest, ali mrežnim administratorima i sredstva za održavanje zdravlja stranice.

podrigivanje Suite

Vrlo moćan alat za provjeru ne samo mjesto, ali praćenje bilo koje mreže. Ima izgrađen-in funkcija zahtjeve za izmjenom su prošli na test serveru. Pametan skener u stanju automatski tražiti nekoliko vrsta ranjivosti odjednom. Moguće je spremiti rezultat trenutnih aktivnosti, a zatim ga ponovo. Fleksibilnost koristiti ne samo third-party plug-ins, ali i napisati svoju vlastitu.

Taj uslužni program ima svoje grafičko korisničko sučelje, što je nedvojbeno povoljno, pogotovo za početnike korisnicima.

SQLmap

Vjerojatno najviše odgovara i moćan alat za pretraživanje SQL i XSS ranjivosti. Navedite svoje prednosti može se izraziti kao:

  • Podrška gotovo sve vrste sustava za upravljanje bazama podataka;
  • sposobnost da koriste šest osnovnih načina da određuju primjenu i SQL injekciju;
  • Korisnici način, njihove hash vrijednosti, lozinke i druge podatke poprsje.

Prije upotrebe SQLmap obično prvi pronašao ranjivu web-lokaciju putem Dork - prazne Pretražnik motora koji će vam pomoći ukloniti iz procijenjeni sredstva potrebna web.

Tada je adresa stranice je prebačen u programu, i to provjerava. Ako uspiju, definicija ranjivosti uslužni program može sama i njegova uporaba dobiti puni pristup resursu.

Webslayer

Mali utility koji vam omogućuje da napadne silu. Može li se „na silu” oblici života, sjednica parametri mjestu. Ona podržava multi-threading, što utječe na učinkovitost je odličan. Možete odabrati i lozinke rekurzivno ugniježđeni stranice. Tu je proxy podršku.

Resursi za provjeru

U mreži postoji nekoliko alata za testiranje ranjivost internetskih stranica:

  • coder-diary.ru. Jednostavna stranica za testiranje. Jednostavno unesite adresu, izvor i kliknite na „Provjeri”. Potraga može potrajati dugo vremena, pa možete navesti svoju e-mail adresu kako bi došao na kraju rezultat izravno u testu ladici. postoji oko 2500 poznatih ranjivosti u mjestu.
  • https://cryptoreport.websecurity.symantec.com/checker/. Online provjera usluga za SSL i TLS certifikata iz tvrtke Symantec. To zahtijeva samo adresu, resurs.
  • https://find-xss.net/scanner/. Projekt je zasebna PHP datoteka skenira web stranice za ranjivosti ili ZIP arhivu. Možete odrediti vrste datoteka koje treba skenirati i simbolima, koji su zaštićeni podaci u pismu.
  • http://insafety.org/scanner.php. Skener za testiranje web stranice na platformi „1C-Bitrix”. Jednostavno i intuitivno sučelje.

Algoritam za skeniranje ranjivosti

Svaki mrežni sigurnosni stručnjak obavlja provjeru jednostavan algoritam:

  1. U početku je to ručno ili pomoću automatiziranih alata analizirati postoje li na internetu ranjivost. Ako da, onda to određuje njihovu vrstu.
  2. Ovisno o vrsti prisutne ranjivost gradi daljnje poteze. Na primjer, ako znamo CMS, a zatim odabrati odgovarajuću metodu napada. Ako je SQL injection, odabrani upita na bazu podataka.
  3. Glavni cilj je dobiti povlašteni pristup administrativnom panelu. Ako to nije moguće postići takav, možda je vrijedno pokušati formirati lažni adresu s uvodu pisma s naknadnim prijenosom žrtve.
  4. Ako bilo koji napad ili penetracija ne uspije, počinje prikupljanje podataka: postoje više ranjivosti koje su prisutne nedostatke.
  5. Na temelju sigurnosnih podataka stručnjak kaže vlasnik o problemima i kako ih riješiti stranica.
  6. Ranjivosti su eliminirani s rukama ili uz pomoć treće strane majstora.

Nekoliko savjeta za sigurnost

Oni koji su samostalno razvija svoje vlastite web stranice, pomoći će ove jednostavne savjete i trikove.

Ulazni podaci moraju biti filtrirane tako da skripte ili upite ne može se izvoditi samostalno ili dati podatke iz baze podataka.

Koristite složene i jake lozinke za pristup uprava ploča, kako bi se izbjegli mogući silu.

Ako je web stranica se temelji na CMS-u, morate čim dokazane dodataka, predlošci i moduli mogu biti često ažurirati i primijeniti. Nemojte preopteretiti stranice s nepotrebnih komponenti.

Često provjerite logove poslužitelja za bilo sumnjivih događaja ili akcije.

Provjerite svoje web nekoliko skenera i usluge.

Ispravna konfiguracija poslužitelja - ključ stabilne i siguran rad.

Ako je moguće, koristite SSL certifikat. To će spriječiti presretanje osobnih ili povjerljivih podataka između servera i korisnika.

Instrumenti za sigurnost. To ima smisla za instaliranje ili spajanje softver kako bi se spriječilo prodiranje i vanjske prijetnje.

zaključak

U članku se okrenuo pozitivan pomak, ali ni to nije dovoljno da se detaljno opisati sve aspekte sigurnosti mreže. Kako se nositi s problemom informacijske sigurnosti, potrebno je proučiti puno materijala i uputa. I također naučiti hrpu alata i tehnologija. Možete potražiti savjet i pomoć od profesionalnih tvrtki koje specijalizirati u Pentest i revizije web-resursa. Iako ove usluge, te će se pretvoriti u dobar iznos, svejedno sigurnosti web stranici mogu biti puno skuplje u ekonomskom smislu i reputacijski.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 hr.unansea.com. Theme powered by WordPress.