Осалдық сайттар. Сайт тексеру. осал сайты сканерлеу бағдарламасы

сайтқа қауіпсіздік проблемасы 21-ші ғасырда-ақ өткір ретінде ешқашан болған емес. Әрине, бұл іс жүзінде барлық салалар мен салаларында Интернеттің кешенді таралуына байланысты. Күн сайын, хакерлер және қауіпсіздік сарапшылары бірнеше жаңа осалдық сайттарды тапты. Олардың көпшілігі бірден жабық иелері мен әзірлеушілер болып табылады, бірақ сондай-ақ кейбір қалады. Қандай соққыға пайдаланылады. Бірақ бұзылған торабын пайдаланып, оның пайдаланушылардың және ол орналасқан, онда серверлерде де үлкен зиян келтіруі мүмкін.

сайттар осал түрлері

Сіз байланысты электрондық технологиялар лот бойынша пайдаланылатын веб беттерін құру кезінде. Кейбір күрделі және уақыт сынынан өткен, ал кейбір жаңа болып табылады және тозған жоқ. Кез келген жағдайда, осалдықтарды сайттар сорттарын көп:

• XSS. Әрбір сайт шағын нысанын бар. Олар пайдаланушылар деректерді енгізу және нәтиже алу, тіркеу жүзеге асырылады немесе хабарларды жіберу отыр көмектеседі. арнайы құндылықтарды түрінде алмастыру сайттың тұтастығын бұзуға және деректерді мәмілеге болады белгілі бір сценарий, орындалуын іске қосуға болады.
• SQL-бүрку. құпия деректерге қол жеткізу үшін өте қарапайым және тиімді тәсілі. Бұл мекен-жайы жолағында арқылы, немесе түрінде арқылы немесе орын алуы мүмкін. процесс сүзілген сценарийлерді болуы және деректер базасын сұрау мүмкін емес мәндерін ауыстыру арқылы жүзеге асырылады. Және тиісті білімі бар, бұл қауіпсіздік бұзу себеп болуы мүмкін.

• HTML-қате. скрипт коды, және HTML ендірілген жүзінде XSS сол,, бірақ.
• Әдепкі жерлерде файлдар мен каталогтар орналастыруға байланысты сайттар осал. Мысалы, веб-беттер құрылымын біле, сіз әкімшілік панель код жетуі мүмкін.
• серверде операциялық жүйесін күйге келтіру жеткіліксіз қорғау. кез келген жағдайда, осалдық бар, содан кейін шабуылшы ерікті кодты орындауға қабілетті болуы тиіс.
• Bad парольдер. ең айқын осалдықтар сайттар бірі - олардың тіркелгісін қорғау үшін әлсіз мәндерін пайдаланыңыз. Әсіресе, бұл әкімші болса.
• Аралық толып. жадтан деректерді ауыстыру кезде өз түзетулерін енгізе алады, сондықтан, бұл пайдаланылады. кезде кемелсіз бағдарламалық қамтамасыз тарту Ол жүреді.
• Сіздің сайттың бөлімдерін ауыстыру. трюк күдікті және сіздің жеке мәліметтерін енгізіңіз, шабуыл өтіп біраз уақыттан кейін мүмкін емес пайдаланушыға кіру арқылы веб-нақты көшірмесін қайта.
• қызмет көрсетуден бас тарту. ол өңдеуге мүмкін емес сұрау үлкен санын алады, және жай ғана «тамшылардың» немесе осы пайдаланушыларға қызмет алмай болғанда, әдетте, бұл термин серверде шабуыл түсініледі. осалдығы ІР сүзгі дұрыс теңшелмеген табылатындығында.

Осалдық Сканерлеу Сайт

Қауіпсіздік мамандар крекинг әкелуі мүмкін қателер мен ақаулар үшін веб-ресурстың арнайы аудит жүргізді. Мұндай тексеру сайт pentesting деп аталады. процесс CMS, сезімтал модульдер және басқа да көптеген қызықты тест болуымен пайдаланылатын бастапқы кодты талдау.

SQL-бүрку

полигонының бұл түрі сценарий деректер базасына өтініш дайындауға алынған мәндерін сүзеді анықтайды. қарапайым сынақ қолмен болуы мүмкін жүргізу. сайтында SQL осалдықты қалай табуға болады? Кім талқыланатын болады.

Мысалы, сайт менің-sayt.rf бар. оның алдыңғы бетінде бар каталог. оған Going, сіз менің-sayt.rf /? PRODUCT_ID = 1 сияқты мекенжай жолағы нәрсе табуға болады. Бұл деректер базасына сұрау болуы ықтимал. Сайт осалдықтар табу үшін бірінші қатарда бір дәйек алмастыра көріңіз. Нәтижесінде, «шахта-sayt.rf /? PRODUCT_ID = 1 болуы тиіс. Сіз бетінде батырмасын, қате туралы хабарды «Enter» пернесін басыңыз, онда осалдығы бар.

Енді сіз құндылықтарды таңдау үшін түрлі параметрлерді пайдалануға болады. Пайдаланылған комбинациясы операторлары ерекшеліктер, түсініктеме және көптеген басқалар.

XSS

белсенді және пассивті - осалдық бұл түрі екі түрлі болуы мүмкін.

Белсенді базасында немесе сервердегі файлда код орына енгізу білдіреді. Ол аса қауіпті және күтпеген болып табылады.

Бейтарап құрамында зиянды код сайттың белгілі бір мекен-құрбаны головокружительные қамтиды.

XSS шабуыл арқылы cookie файлдарын ұрлап мүмкін. Және олар маңызды пайдаланушы деректерін қамтуы мүмкін. Тіпті одан да көп қорқынышты салдары отырысы ұрланған етті.

тікелей қаскүнем қолына пайдаланушы туралы ақпаратты берді, оны жіберу кезінде етіп қалыптастыруға, сондай-ақ, шабуылшы сайтында сценарийін пайдалануға болады.

іздеу процесін автоматтандыру

желілік қызықты осалдығы сканерлер сайттың көп табуға болады. Кейбір жалғыз келіп, кейбір бірнеше ұқсас келіп, Қали Linux сияқты, бір бейнесі біріктірілді. осалдықтар туралы ақпарат жинау процесін автоматтандыру үшін ең танымал құрал шолуды қамтамасыз жалғастырады.

Nmap

осындай порттарды және қызметтерді пайдаланылатын амалдық жүйе сияқты мәліметтерді көрсете алады оңай сайтыңызда осалдығы сканер. Типтік өтініштер:

nmap -sS 127.0.0.1, онда оның орнына жергілікті IP мекенжайының нақты полигонды алмастыруға қажет.

қызметтер оған жұмыс істеп, және ол порттар осы уақытта ашық қандай Қорытынды есеп. Осы ақпарат негізінде, сіз әлдеқашан анықталған осалдықты пайдалану көріңіз.

Мұнда nmap сканерлеу объективті бірнеше кілті болып табылады:

• -A. ақпарат көп демпингтік, бірақ ол айтарлықтай уақыт қажет болуы мүмкін агрессивті сканерлеу.
• Ей,. Ол сіздің серверде пайдаланылатын амалдық жүйені анықтау үшін тырысады.
• -D. Сіз бұл шабуыл орын алған жерді анықтау үшін сервер журналдарын мүмкін емес еді көру кезінде тексеру үшін жасалады, оның бір IP-мекен-жайын Spoof.
• -p. порттар. Ашық бірнеше қызметтерді тексеру.
• -S. Ол сізге дұрыс IP мекенжайын көрсетуге мүмкіндік береді.

WPScan

Бұл бағдарлама Қали Linux бөлу енгізілген осал сайты сканерлеу болып табылады. WordPress CMS веб ресурстарды тексеру үшін арналған. ол Ruby жазылған, сондықтан осы сияқты іске асырылады:

Ruby ./wpscan.rb анықтама. Бұл пәрмен барлық қол жетімді опциялар және хаттар көрсетеді.

Команда қарапайым тест іске қосу үшін пайдалануға болады:

лағыл ./wpscan.rb --url some-sayt.ru

Жалпы WPScan жылы - «WordPress» осалдық сіздің сайты тексеру үшін утилитасын пайдалану үшін өте оңай.

Nikto

Бағдарлама сайты Қали Linux бөлу, сондай-ақ қолда бар болып табылатын, осал тексеру. Ол өзінің барлық қарапайымдылығы үшін қуатты мүмкіндіктерін береді:

• HTTP және HTTPS бар протоколын қарап;
• Көптеген Кіріктірілген анықтау құралдарын айналып;
• тіпті стандартты емес диапазонында бірнеше порт сканерлеу;
• прокси сервер пайдалану қолдау;
• ол жүзеге асыру және байланыс қосылатын модульдер болады.

жүйесіне Nikto қажеттілігін бастау үшін Perl орнатылды. төмендегідей қарапайым талдау жүзеге асырылады:

Perl nikto.pl -h 192.168.0.1.

Бағдарлама веб-сервер мекенжайын тізімдейді мәтін файлды «Көрме» болады:

Perl nikto.pl -h file.txt

Бұл құрал Пентест жүргізу қауіпсіздік мамандар көмектеседі ғана емес, сонымен желілік әкімшілері мен ресурстар денсаулық сайттарды қолдау үшін.

отрыжка Suite

сайты, бірақ кез-келген желі мониторинг ғана емес тексеруге өте қуатты құрал. өзгерту сұрау бекітілген функция сынақ серверде қабылданды болды. автоматты түрде бірден осал бірнеше түрлері іздеңіз қабілетті Smart сканер. Ол ағымдағы қызметінің нәтижесін сақтап, содан кейін оны жалғастыру мүмкін. үшінші тарап плагиндерді пайдалануға ғана емес, сонымен қатар өз жаза Икемділік.

коммуналдық, әсіресе, жаңа бастаған пайдаланушылар үшін, сөзсіз ыңғайлы өз графикалық пайдаланушы интерфейсін, бар.

SQLmap

Мүмкін SQL және XSS осалдық іздеу үшін ең ыңғайлы және қуатты құрал. оның артықшылықтары ретінде көрсетілуі мүмкін тізіп:

• деректер базасын басқару жүйесін іс жүзінде барлық түрлерін қолдау;
• өтініш және SQL-инъекцияны анықтау үшін алты негізгі жолдарын қолдана білу;
• режимі, олардың хэш, парольдер мен басқа да деректерді терілген пайдаланушылар.

бос сұрауы іздеу жүйелерін сіз болжамды ресурстарын қажет веб отсеять көмектесу үшін - SQLmap әдетте алдымен dork арқылы осал сайтты тауып пайдалану алдында.

Содан кейін беттің мекенжайы бағдарламасы ауыстырылды, және ол тексереді отыр. табысты болса, осал утилитаңыз анықтамасы өзі және ресурс толық қол жеткізу үшін оның пайдалануға болады.

Webslayer

Сіз Brute Force шабуыл жасауға мүмкіндік беретін шағын коммуналдық. өмір «өрескел күш» нысандары, сайттың сессиясы параметрлері болады. Ол өнімділігіне әсер ететін көпағымдықты, тамаша қолдайды. Сіз сондай-ақ құпия сөздер рекурсивті енгізілген беттерді таңдауға болады. прокси қолдау бар.

тексеру үшін ресурстар

желідегі онлайн сайттар осалдығын тексеру үшін бірнеше құралдар бар:

• coder-diary.ru. тестілеу үшін Қарапайым сайты. Тек мекенжайды енгізіңіз, ресурс және «тексеру» батырмасын басыңыз. Сіз тартпасы тест тікелей нәтижеге соңында келіп үшін электрондық пошта мекенжайын көрсетуге болады, сондықтан іздеу, ұзақ уақыт алуы мүмкін. сайтта шамамен 2500 белгілі осалдықтар бар.
• https://cryptoreport.websecurity.symantec.com/checker/. Компанияның Symantec жылғы SSL және TLS куәліктің үшін Online Service тексеру. Ол тек мекенжайын, ресурс қажет етеді.
• https://find-xss.net/scanner/. Жоба осалдық немесе ZIP мұрағат үшін бөлек PHP файл Сканирлеу веб-сайттар болып табылады. Сіз сценарий бойынша деректермен қорғалғанын тексерілетін файл мен таңбалар, түрлерін көрсетуге болады.
• http://insafety.org/scanner.php. платформасында «1С-Битрикс» туралы сайттарды тексеру үшін Сканер. Қарапайым және интуитивті түсінікті интерфейс.

осал сканерлеу алгоритмі

Кез келген желінің қауіпсіздік маманы қарапайым алгоритм бойынша тексеру орындайды:

1. Алғашында ол қолмен немесе автоматтандырылған құралдарын пайдалана отырып, кез келген онлайн осалдығы бар ма талдау. Егер иә болса, онда ол олардың түрін анықтайды.
2. түрі осы осалдығын байланысты одан әрі қадамдар салады. біз CMS білеміз Мысалы, егер, содан кейін шабуыл тиісті әдісін таңдау. деректер базасына оны SQL-инъекциялық болса, таңдалған сұраулары.
3. негізгі мақсаты әкімшілік тақтасында қол артықшылықты алу болып табылады. ол мұндай қол жеткізу мүмкін емес еді, онда, мүмкін, ол көріңіз және жәбірленушінің кейіннен бере отырып, оның сценарий енгізумен жалған мекен-жайы қалыптастыру жөн.
4. кез келген шабуыл немесе ену сәтсіз болса, ол деректерді жинау басталады: бар ақаулар бар көп осал болып табылады.
5. деректер қауіпсіздік сарапшысы негізделген проблемалар және оларды шешу жолдары туралы сайт иесі дейді.
6. Осалдықтар қолымен немесе үшінші тарап шеберлерінің көмегімен тасталады.

Бірнеше қауіпсіздік кеңестер

өзін-өзі өз веб-сайтын әзірлейді, кім болып, бұл қарапайым кеңестер мен айлаларды көмектеседі.

сценарийлер немесе сұраулар оқшау немесе дерекқордан деректерді беруге іске мүмкін емес, сондықтан кіріс деректерді сүзгіден тиіс.

ықтимал Brute Force болдырмау үшін, кіру тақтасы әкімшісінің күрделі және күшті құпия сөздерді пайдаланыңыз.

сайт CMS негізделген болса, сіз сондай-ақ жақын арада дәлелденген плагиндер, үлгілер мен модульдер жиі оны жаңарту және қолдануға болады қажет. қажетсіз компоненттері бар сайты шамадан тыс жүктемеңіз.

Жиі кез келген күдікті қайталанулар немесе іс-әрекеттері үшін сервер журналдарын тексеріңіз.

өз сайты бірнеше сканерлерді және қызметтерді тексеріңіз.

Дұрыс сервер конфигурациясы - оның тұрақты және қауіпсіз пайдалануға кілті.

Мүмкін болса, SSL куәлігін пайдаланыңыз. Бұл сервер мен пайдаланушы арасындағы жеке немесе құпия деректер ұстап болдырмауға мүмкіндік береді.

қауіпсіздік құралдары. Ол килігуінен және сыртқы қатерлерге жол бермеу үшін бағдарламалық құралды орнату немесе жалғау мағынасы.

қорытынды

мақала оң жылжуын айналды, бірақ тіпті ол егжей-тегжейлі желі қауіпсіздік барлық аспектілерін сипаттау үшін жеткілікті болып табылады. ақпараттық қауіпсіздік мәселесіне жеңе үшін, материалдар мен нұсқаулар көп зерттеу қажет. Сондай-ақ, құралдар мен технологияларды байламы үйрену. Сіз кәсіби Пентест маманданған компаниялар мен аудит веб ресурстар кеңес және көмек іздеуге болады. жақсы сомасы айналады, осы қызметтер Дегенмен, және, барлық сол сайт қауіпсіздік экономикалық терминдер мен бедел жылы әлдеқайда қымбат болуы мүмкін.