Računala, Sigurnosni
Ranjivosti web stranice. Web provjere. Program za skeniranje web stranice za ranjivosti
web stranica sigurnosni problem nikada nije bila kao akutna kao u 21. stoljeću. Naravno, to je zbog sveobuhvatne širenju Interneta u gotovo svim industrijama i područjima. Svaki dan, hakera i sigurnosni stručnjaci otkrili nekoliko novih ranjivosti web stranice. Mnogi od njih su odmah zatvorene vlasnici i poduzetnici, ali neki ostaju kao što je. Koji se koristi od strane napadača. No, pomoću sjeckan stranice mogu uzrokovati veliku štetu na oba svojih korisnika i poslužitelja na kojem je smješten.
Vrste web stranice ranjivosti
Kada stvorite web stranice koje koriste mnogo srodnih elektroničkih tehnologija. Neki su sofisticirani i vrijeme testiran, a neki su novi i nisu nosili. U svakom slučaju, ima dosta varijanti mjesta ranjivosti:
- XSS. Svaka stranica ima mali obrazac. Oni pomažu korisnicima unos podataka i dobiti rezultat, registracija se vrši ili slati poruke. Zamjena u obliku posebnih vrijednosti može izazvati izvršenje određenog pisma, koja može uzrokovati povredu integriteta stranice i kompromitirajućih podataka.
- SQL injection. Vrlo česte i učinkovit način da biste dobili pristup povjerljivim podacima. To se može dogoditi bilo kroz adresnoj traci ili putem obrasca. Proces se provodi zamjenom vrijednosti koje se ne mogu filtrirati skripte i upita bazi podataka. A uz odgovarajuće znanje može uzrokovati prijetnju sigurnosti.
- HTML-pogreška. Gotovo isti kao kod XSS, ali ne ugrađen skriptu, i HTML.
- Ranjivost stranice povezane s položajem datoteka i direktorija na zadane lokacije. Na primjer, znajući strukturu web stranica, možete doći kod uprave ploči.
- Nedovoljna zaštita postavljanja operacijskog sustava na poslužitelju. Ako je bilo, ranjivost je prisutan, tada napadač trebao biti u mogućnosti za izvršavanje proizvoljnog koda.
- Loše lozinke. Jedan od najočitijih ranjivosti web - korištenje slabe vrijednosti za zaštitu njihov račun. Pogotovo ako je administrator.
- Buffer overflow. Nekada je prilikom zamjene podataka iz memorije, tako da mogu napraviti svoje vlastite prilagodbe. To se događa kada je uključenost nesavršenog softvera.
- Zamjena odjeljke web-lokacije. Ponovno točnu kopiju web stranice prijavom na korisnika koji ne mogu biti osumnjičen trik i unesite svoje osobne podatke, nakon nekog vremena prolazi napadača.
- Uskraćivanja usluga. Općenito se ovaj pojam podrazumijeva se napad na server kada primi veliki broj zahtjeva koji se ne mogu nositi, i jednostavno „padne” ili postane nesposoban služiti tim korisnicima. Ranjivost leži u činjenici da se IP filtar nije pravilno konfiguriran.
Skeniranje ranjivosti stranice
Sigurnosni stručnjaci proveli posebnu reviziju na web resurs za pogreške i nedostatke koji mogu dovesti do pucanja. Takav položaj provjera zove pentesting. Proces analize izvornog koda koji koristi CMS, prisutnost osjetljivih modula i mnogih drugih zanimljivih testova.
SQL injection
Ova vrsta poligonu određuje da li je skripta filteri primljenih vrijednosti u pripremi zahtjeva za baze podataka. Provesti jednostavan test može biti ručno. Kako pronaći SQL ranjivosti na stranicama? Tko će se raspravljati.
Na primjer, tu je stranica moja-sayt.rf. Na naslovnoj stranici ima katalog. Ide u nju, što se može naći u adresnoj traci nešto poput moje-sayt.rf /? Product_id = 1. Vrlo je vjerojatno da je to zahtjev u bazu podataka. Pronaći mjesto ranjivosti može prvo pokušati zamijeniti u redu jedan citat. Kao rezultat toga, trebao bi biti mina sayt.rf /? Product_id = 1”. Ako pritisnete tipku „Enter” na stranici, poruke o pogrešci, postoji ranjivost.
Sada možete koristiti različite opcije za odabir vrijednosti. Rabljeni kombinacija operateri iznimke, komentirajući i mnogi drugi.
XSS
Ova vrsta ranjivosti može biti od dvije vrste - aktivne i pasivne.
Aktivno znači uvođenje komad koda u bazi podataka ili u datoteku na poslužitelju. To je više opasna i nepredvidljiva.
Pasivni način rada uključuje mami žrtvu na određenu adresu stranice koje sadrže zlonamjerni kod.
Korištenje XSS napadač može ukrasti kolačiće. I oni mogu sadržavati važne podatke korisnika. Čak i više teške posljedice je ukraden sjednicu.
Također, napadač može koristiti skriptu na mjestu, tako da se formira u trenutku slanja dao korisniku informacije izravno u ruke napadača.
Automatizacija procesa za pretraživanje
Mreža se može naći mnogo zanimljivih ranjivosti stranice. Neki dolaze sami, neki dolaze s nekoliko sličnih i spojene u jednu sliku, kao što je Kali Linux. I dalje će dati pregled najpopularnijih alata za automatizaciju procesa prikupljanja informacija o ranjivosti.
Nmap
Najlakši web ranjivost skener koji može pokazati detalje kao što su operativni sustav koriste luke i usluga. Tipična područja primjene:
nmap -sS 127.0.0.1, gdje je umjesto potrebno je lokalna IP adresa zamijeniti pravi test stranice.
Zaključak izvješća o tome što su usluge trčanje na njega, a koji su portovi otvoreni u ovom trenutku. Na temelju tih podataka, možete pokušati iskoristiti već identificiran ranjivost.
Evo nekoliko tipke za Nmap pristranosti skeniranja:
- -A. Agresivni skeniranje koje odbačeno mnogo informacija, ali to može potrajati dosta vremena.
- -O. Ona se pokušava utvrditi operativni sustav koji se koristi na vašem poslužitelju.
- D. Podvala IP adresu s koje provjerava se da se pri pregledu je bilo nemoguće poslužitelja prijavljuje bi se utvrdilo gdje je došlo do napada.
- p. Raspon luka. Provjera nekoliko usluga za otvorena.
- -S. To vam omogućuje da odredite ispravnu IP adresu.
WPScan
Ovaj program je za skeniranje stranice za ranjivosti uključenih u Kali Linux distribucije. Dizajniran za provjeru web resurse na WordPress CMS. što je pisano u Ruby, pa trčanje kao što je ovaj:
Ruby ./wpscan.rb help. Ova naredba će pokazati sve dostupne opcije i slova.
Naredba se može koristiti za pokretanje jednostavan test:
rubin ./wpscan.rb --url some-sayt.ru
U općem WPScan - prilično jednostavan za korištenje program za testiranje svoje stranice na „wordpress” ranjivosti.
Nikto
Program za mjesto provjere ranjivosti, što je također dostupan u Kali Linux distribucije. Ona pruža snažne mogućnosti za svoj svojoj jednostavnosti:
- Ispitivanje protokol za HTTP i HTTPS;
- zaobilazeći mnoge alate ugrađene detekcije;
- višestruko skeniranje luka, čak i na ne-standardnog asortimana;
- podržavaju upotrebu proxy poslužitelja;
- moguće je provesti i spojne dodaci.
Za početak Nikto potrebu sustav je instaliran Perl. Najjednostavnija analiza je provedena na sljedeći način:
Perl nikto.pl -h 192.168.0.1.
Program se može „hraniti” tekstualnu datoteku s popisom adresu web-poslužitelja:
Perl nikto.pl -h file.txt
Ovaj alat ne samo da će pomoći sigurnosnih stručnjaka za obavljanje Pentest, ali mrežnim administratorima i sredstva za održavanje zdravlja stranice.
podrigivanje Suite
Vrlo moćan alat za provjeru ne samo mjesto, ali praćenje bilo koje mreže. Ima izgrađen-in funkcija zahtjeve za izmjenom su prošli na test serveru. Pametan skener u stanju automatski tražiti nekoliko vrsta ranjivosti odjednom. Moguće je spremiti rezultat trenutnih aktivnosti, a zatim ga ponovo. Fleksibilnost koristiti ne samo third-party plug-ins, ali i napisati svoju vlastitu.
Taj uslužni program ima svoje grafičko korisničko sučelje, što je nedvojbeno povoljno, pogotovo za početnike korisnicima.
SQLmap
Vjerojatno najviše odgovara i moćan alat za pretraživanje SQL i XSS ranjivosti. Navedite svoje prednosti može se izraziti kao:
- Podrška gotovo sve vrste sustava za upravljanje bazama podataka;
- sposobnost da koriste šest osnovnih načina da određuju primjenu i SQL injekciju;
- Korisnici način, njihove hash vrijednosti, lozinke i druge podatke poprsje.
Prije upotrebe SQLmap obično prvi pronašao ranjivu web-lokaciju putem Dork - prazne Pretražnik motora koji će vam pomoći ukloniti iz procijenjeni sredstva potrebna web.
Tada je adresa stranice je prebačen u programu, i to provjerava. Ako uspiju, definicija ranjivosti uslužni program može sama i njegova uporaba dobiti puni pristup resursu.
Webslayer
Mali utility koji vam omogućuje da napadne silu. Može li se „na silu” oblici života, sjednica parametri mjestu. Ona podržava multi-threading, što utječe na učinkovitost je odličan. Možete odabrati i lozinke rekurzivno ugniježđeni stranice. Tu je proxy podršku.
Resursi za provjeru
U mreži postoji nekoliko alata za testiranje ranjivost internetskih stranica:
- coder-diary.ru. Jednostavna stranica za testiranje. Jednostavno unesite adresu, izvor i kliknite na „Provjeri”. Potraga može potrajati dugo vremena, pa možete navesti svoju e-mail adresu kako bi došao na kraju rezultat izravno u testu ladici. postoji oko 2500 poznatih ranjivosti u mjestu.
- https://cryptoreport.websecurity.symantec.com/checker/. Online provjera usluga za SSL i TLS certifikata iz tvrtke Symantec. To zahtijeva samo adresu, resurs.
- https://find-xss.net/scanner/. Projekt je zasebna PHP datoteka skenira web stranice za ranjivosti ili ZIP arhivu. Možete odrediti vrste datoteka koje treba skenirati i simbolima, koji su zaštićeni podaci u pismu.
- http://insafety.org/scanner.php. Skener za testiranje web stranice na platformi „1C-Bitrix”. Jednostavno i intuitivno sučelje.
Algoritam za skeniranje ranjivosti
Svaki mrežni sigurnosni stručnjak obavlja provjeru jednostavan algoritam:
- U početku je to ručno ili pomoću automatiziranih alata analizirati postoje li na internetu ranjivost. Ako da, onda to određuje njihovu vrstu.
- Ovisno o vrsti prisutne ranjivost gradi daljnje poteze. Na primjer, ako znamo CMS, a zatim odabrati odgovarajuću metodu napada. Ako je SQL injection, odabrani upita na bazu podataka.
- Glavni cilj je dobiti povlašteni pristup administrativnom panelu. Ako to nije moguće postići takav, možda je vrijedno pokušati formirati lažni adresu s uvodu pisma s naknadnim prijenosom žrtve.
- Ako bilo koji napad ili penetracija ne uspije, počinje prikupljanje podataka: postoje više ranjivosti koje su prisutne nedostatke.
- Na temelju sigurnosnih podataka stručnjak kaže vlasnik o problemima i kako ih riješiti stranica.
- Ranjivosti su eliminirani s rukama ili uz pomoć treće strane majstora.
Nekoliko savjeta za sigurnost
Oni koji su samostalno razvija svoje vlastite web stranice, pomoći će ove jednostavne savjete i trikove.
Ulazni podaci moraju biti filtrirane tako da skripte ili upite ne može se izvoditi samostalno ili dati podatke iz baze podataka.
Koristite složene i jake lozinke za pristup uprava ploča, kako bi se izbjegli mogući silu.
Ako je web stranica se temelji na CMS-u, morate čim dokazane dodataka, predlošci i moduli mogu biti često ažurirati i primijeniti. Nemojte preopteretiti stranice s nepotrebnih komponenti.
Često provjerite logove poslužitelja za bilo sumnjivih događaja ili akcije.
Provjerite svoje web nekoliko skenera i usluge.
Ispravna konfiguracija poslužitelja - ključ stabilne i siguran rad.
Ako je moguće, koristite SSL certifikat. To će spriječiti presretanje osobnih ili povjerljivih podataka između servera i korisnika.
Instrumenti za sigurnost. To ima smisla za instaliranje ili spajanje softver kako bi se spriječilo prodiranje i vanjske prijetnje.
zaključak
U članku se okrenuo pozitivan pomak, ali ni to nije dovoljno da se detaljno opisati sve aspekte sigurnosti mreže. Kako se nositi s problemom informacijske sigurnosti, potrebno je proučiti puno materijala i uputa. I također naučiti hrpu alata i tehnologija. Možete potražiti savjet i pomoć od profesionalnih tvrtki koje specijalizirati u Pentest i revizije web-resursa. Iako ove usluge, te će se pretvoriti u dobar iznos, svejedno sigurnosti web stranici mogu biti puno skuplje u ekonomskom smislu i reputacijski.
Similar articles
Trending Now