Vulnerabilities sites. Website sa pagsusi. Program sa scan sa site alang sa vulnerabilities

website security nga isyu wala nga sama sa mahait ingon sa ika-21 nga siglo. Siyempre, kini mao ang tungod sa komprehensibo nga pagkuyanap sa sa Internet sa hapit tanan nga mga industriya ug mga uma. Matag adlaw, hackers ug seguridad eksperto nakakaplag sa usa ka pipila ka bag-o nga vulnerabilities sites. Daghan kanila mga diha-diha dayon sirado tag-iya ug mga developers, apan ang uban magpabilin ingon nga mao ang. Nga gigamit sa mga attackers. Apan sa paggamit sa usa ka gitigbas site mahimong hinungdan sa dakung kadaut sa mga tiggamit niini, ug ang mga tigtagad sa diin kini gibutang.

Matang sa mga dapit vulnerabilities

Sa diha nga sa paghimo kaninyo nga mga panid Web nga gigamit sa usa ka daghan sa may kalabutan nga mga electronic nga mga teknolohiya. Ang uban sopistikado ug panahon-gisulayan, ug ang uban mao ang mga bag-o ug wala gisul-ob. Sa bisan unsa nga kaso, adunay daghang mga matang sa mga dapit sa mga vulnerabilities:

• XSS. Ang matag site adunay usa ka gamay nga nga porma. sa pagtabang nila tiggamit mosulod data ug sa usa ka resulta, registration gidala sa gawas o ipadala mensahe. Paghulip sa dagway sa mga espesyal nga mga prinsipyo mahimong makamugna sa pagpatay sa usa ka script, nga hinungdan sa usa ka paglapas sa integridad sa mga site ug sa ikompromiso data.
• SQL-indeyksiyon. Ang usa ka kaayo komon ug epektibo nga paagi sa pag-angkon access sa confidential data. Kini mahimong mahitabo sa bisan asa pinaagi sa address bar, o pinaagi sa sa porma. Ang proseso mao ang gidala sa gawas pinaagi sa paghulip sa mga mithi nga dili sinala scripts ug pangutana sa database. Ug uban sa husto nga kahibalo mahimo kini ang hinungdan sa usa ka security guba nga kuta nga.

• HTML-sayop. Halos sa mao usab nga sama sa nga sa sa XSS, apan wala makulit script code, ug HTML.
• Ang vulnerability sa mga dapit nga nakig-uban sa mga placement sa mga file ug direktoryo sa mga dapit remate. Kay sa panig-ingnan, nga nasayud sa mga gambalay sa mga panid sa web, nga imong mahimo sa pagkab-ot sa administrasyon panel code.
• Kulang pagpanalipod sa setup sa operating system sa server. Kon sa bisan unsa nga, ang bulnerabilidad mao ang karon, nan ang attacker kinahanglan nga makahimo sa pagpatay sa arbitraryong code.
• Bad password. Usa sa labing klaro nga vulnerabilities sites - sa paggamit sa huyang nga mga prinsipyo sa pagpanalipod sa ilang account. Ilabi na kon kini mao ang usa ka administrador.
• Buffer pagsugwak. Kini gigamit sa dihang ilis data gikan sa panumdoman, aron nga kamo makahimo sa paghimo sa ilang kaugalingon nga mga kausaban. Kini mahitabo sa diha nga ang kalambigitan sa dili-hingpit nga software.
• -Ilis sa mga seksyon sa imong site. Abyasyon sa usa ka tukma nga kopya sa website pinaagi sa logging sa sa user nga dili gidudahang nga usa ka limbong, tikas ug mosulod sa imong personal nga mga detalye, human sa pipila ka mga panahon nga moagi tig-atake.
• Paglimod sa pag-alagad. Sagad nga kini nga termino nakasabut sa pag-atake sa server sa diha nga kini makadawat sa usa ka dako nga gidaghanon sa mga hangyo nga dili pagdumala, ug lamang "tulo" o mahimong dili sa pag-alagad niini nga mga tiggamit. vulnerability Ang mga bakak sa kamatuoran nga ang usa ka IP filter dili gihulma, giporma sa tukma nga paagi.

Vulnerability Scan Site

Security mga espesyalista nga gipahigayon sa usa ka espesyal nga audit sa web nga kapanguhaan alang sa mga kasaypanan ug mga depekto nga modala ngadto sa cracking. Ang maong panghimatuud site nga gitawag pentesting. Ang proseso analisar sa source code nga gigamit sa mga CMS, sa atubangan sa sensitibo nga modules ug sa daghang uban pang mga makapaikag nga mga pagsulay.

SQL-indeyksiyon

Kini nga matang sa pagsulay site motino kon ang script mosala sa mga madawat nga mga prinsipyo sa pag-andam sa mga hangyo ngadto sa database. Pagpahigayon og usa ka yano nga pagsulay mahimong kamut. Unsa nga paagi sa pagpangita sa SQL vulnerability sa site? Kinsa ang hisgotan.

Pananglitan, may usa ka dapit sa akong-sayt.rf. Sa iyang atubangan nga pahina adunay usa ka katalogo. Going ngadto niini, nga kamo mahimo nga makaplagan diha sa address bar sa usa ka butang sama sa akong-sayt.rf /? Product_id = 1. Kini mao ang lagmit nga kini mao ang usa ka hangyo ngadto sa database. Sa pagpangita sa usa ka site vulnerabilities mahimo una sa pagsulay sa mopuli sa laray sa usa ka kinutlo. Ingon sa usa ka resulta, kinahanglan nga ang akong-sayt.rf /? Product_id = 1 '. Kon kamo mopadayon sa "Sumulod kamo" button sa ibabaw sa panid, usa ka sayop nga mensahe, ang vulnerability anaa.

Karon nga imong mahimo sa paggamit sa nagkalain-laing mga mga kapilian alang sa pagpili sa mga mithi. Migamit kombinasyon operators eksepsiyon, pagkomento ug sa daghang uban pa.

XSS

Kini nga matang sa vulnerability mahimong sa duha ka matang - aktibo ug passive.

Aktibo nagpasabot sa pasiuna sa usa ka piraso sa code sa database o sa file sa server. Kini mao ang mas makuyaw ug dili matag-an.

Mosukol mode naglakip agni sa biktima ngadto sa usa ka piho nga address sa site nga naglakip sa malisyosong code.

Pinaagi sa paggamit sa XSS attacker nga mangawat Cookies. Ug sila mahimo nga naglakip sa mahinungdanon nga mga user data. Bisan pa nga sangpotanan nga gikawat sesyon.

Usab, ang tig-atake makahimo sa paggamit sa script sa dapit aron sa pagporma sa panahon sa pagpadala niini gihatag user sa impormasyon direkta ngadto sa mga kamot sa usa ka tig-atake.

Automation sa proseso sa search

network sa mga makakaplag sa usa ka daghan sa mga makapaikag nga kahuyang scanner site. Sa pipila moabut lamang, ang uban moabut uban sa pipila ka mga susama nga ug Merged ngadto sa usa ka ka larawan, sama sa Kali Linux. Magpadayon sa paghatag og usa ka kinatibuk-ang paghulagway sa mga labing popular nga himan sa automate sa proseso sa pagkolekta impormasyon bahin sa mga kakulangan.

Nmap

Ang kinasayonan website vulnerability scanner nga makapakita sa mga detalye sama sa operating system nga gigamit pantalan ug mga serbisyo. Sagad nga mga aplikasyon:

nmap -sS 127.0.0.1, diin sa baylo nga sa mga lokal nga IP address gikinahanglan sa pagpuli sa tinuod nga pagsulay site.

Panapos report sa unsa nga serbisyo ang nagdagan sa niini, ug nga pantalan bukas sa niini nga panahon. Base sa niini nga impormasyon, kamo mahimo sa pagsulay sa paggamit na nga giila vulnerability.

Ania ang pipila ka mga yawe ngadto sa usa ka nmap scan bias:

• -Usa ka. Aggressive scan nga gilabay sa usa ka daghan sa mga impormasyon, apan kini mahimo nga pagkuha sa dakong panahon.
• -o. Kini mao ang naningkamot sa pag-ila sa mga operating system nga gigamit sa imong server.
• -D. Spoof sa usa ka IP address gikan sa nga sa usa ka tseke ang gihimo sa diha nga ikaw sa pagtan-aw nga kini dili gayud mahimo sa server logs aron sa pagtino diin nahitabo ang pag-atake.
• -p. Ang laing mga pantalan. Pagsusi sa pipila ka serbisyo alang sa bukas.
• -S. kini nagtugot kaninyo sa hingalan sa husto nga IP address.

WPScan

Kini nga programa mao ang pag-scan sa mga site alang sa mga vulnerabilities naglakip sa Kali Linux apod-apod. Gidisenyo aron sa pagsusi sa mga kapanguhaan web sa sa Sun.Star CMS. sa nahisulat sa Ruby, mao modagan sama niini:

Ruby ./wpscan.rb --help. sugo Kini nga mopakita sa tanan nga mga anaa nga mga kapilian ug mga sulat.

sugo magamit sa pagdagan sa usa ka yano nga pagsulay:

rubi ./wpscan.rb --url some-sayt.ru

Sa kinatibuk-WPScan - pretty sayon sa paggamit sa utility sa pagsulay sa imong site sa "wordpress" vulnerabilities.

Nikto

Program site pagsusi sa vulnerabilities, nga mao ang anaa sa Kali Linux-apod-apod usab. Kini naghatag gamhanan kapabilidad alang sa tanang kayano niini:

• Scan protocol uban sa http ug https;
• nakalatas sa daghan nga mga himan nga gitukod-detection;
• multiple port gi-scan, bisan sa mga dili-standard range;
• pagsuporta sa paggamit sa proxy tigtagad;
• kini mao ang posible nga sa pag-implementar ug koneksyon sampong-ins.

Sa pagsugod sa nikto panginahanglan sa sistema sa mga na-instalar Perl. Ang simplest analysis nga gihimo nga ingon sa mosunod:

Perl nikto.pl -h 192.168.0.1.

Ang programa mahimo nga "gipakaon" usa ka text file nga naglista sa Web server address:

Perl nikto.pl -h file.txt

Kini nga himan dili lamang makatabang sa mga propesyonal sa seguridad sa pagpahigayon Pentest, apan network administrators ug mga kapanguhaan aron sa pagpadayon sa mga sites sa panglawas.

ab Suite

Ang usa ka gamhanan kaayo nga himan sa pagsusi sa dili lamang sa site, apan pag-monitor sa bisan unsa nga network. Ang usa ka gitukod-sa function sa mga hangyo pagkausab gipasa sa pagsulay server. Smart scanner makahimo sa awtomatikong-aw sa pipila ka mga matang sa vulnerabilities sa makausa. Kini mao ang posible nga sa pagluwas sa resulta sa sa kasamtangan nga mga kalihokan ug unya ipadayon kini. Pagka-flexible sa dili lamang sa paggamit sa ikatulo nga-sa partido plug-ins, apan usab sa pagsulat sa imong kaugalingon.

utility ang adunay iyang kaugalingon nga tan-awon user interface, nga mao ang sa walay duhaduha sayon, ilabi na alang sa novice tiggamit.

SQLmap

Tingali ang labing sayon ug gamhanan nga himan alang sa pagpangita SQL ug XSS vulnerabilities. Ilista bentaha sa iyang mga mahimong sa gipahayag sama sa:

• Support hapit sa tanan nga matang sa mga sistema sa database management;
• ang abilidad sa paggamit sa unom ka mga nag-unang paagi sa pagtino sa aplikasyon ug SQL-indeyksiyon;
• Users busting mode, ang ilang mga hashes, password ug uban pang mga data.

Sa wala pa ang paggamit SQLmap kasagaran una nakaplagan ang usa ka mahuyang nga dapit pinaagi sa usa ka dork - blangko pangutana search makina sa pagtabang kaninyo sa pagwagtang sa mga gibanabana nga mga kapanguhaan nga gikinahanglan sa web.

Unya ang address sa pahina mao ang gibalhin ngadto sa programa, ug kini nagsusi. Kon malampuson, ang kahulugan sa vulnerability utility mahimo sa iyang kaugalingon ug sa paggamit niini sa pag-angkon sa hingpit nga access sa kapanguhaan.

Webslayer

Usa ka gamay nga utility nga nagtugot kaninyo sa pag-atake kabangis. Makahimo ba "kabangis" matang sa kinabuhi, ang mga lantugi nga sesyon sa site. Kini nagsuporta sa multi-Paglusot, nga makaapekto sa performance mao ang maayo kaayo nga. Ikaw mahimo usab nga mopili sa mga password recursively nagsalag mga panid. Adunay usa ka proxy nga suporta.

Mga kapanguhaan alang sa pagsusi

Sa network adunay mga pipila ka mga himan aron sa pagsulay sa vulnerability sa online sites:

• coder-diary.ru. Yano site alang sa testing. mosulod lang ang address, ang kapanguhaan ug i-klik sa "Check". search Ang mahimo sa usa ka hataas nga panahon, mao nga kamo hingalan sa imong email address aron sa moabut sa katapusan sa mga resulta sa direkta sa hunos test. adunay mga 2,500 nga nailhan vulnerabilities sa site.
• https://cryptoreport.websecurity.symantec.com/checker/. Online Service check alang sa SSL ug TLS certificate gikan sa panon sa Symantec. Kini nagkinahanglan lamang sa address, ang kapanguhaan.
• https://find-xss.net/scanner/. Ang proyekto mao ang usa ka bulag nga PHP file nanaw website alang sa vulnerabilities o ZIP archive. Ikaw mahimo hingalan sa mga matang sa mga file nga scan ug simbolo, nga gipanalipdan pinaagi sa mga data sa script.
• http://insafety.org/scanner.php. Scanner sa pagsulay sites sa plataporma "1C-Bitrix". Yano ug intuitive interface.

Ang algorithm alang sa gi-scan sa vulnerabilities

Sa bisan unsa nga network security specialist naghimo sa usa ka tseke sa usa ka yano nga algorithm:

1. Sa una nga kini sa kamut o pinaagi sa paggamit sa automated nga galamiton analisar kon adunay mga sa bisan unsa nga online vulnerability. Kon oo, nan kini motino sa ilang matang.
2. Depende sa henero nga karon vulnerability nagtukod sa dugang nagalihok. Pananglitan, kon kita nasayud nga ang CMS, unya pagpili sa tukma nga pamaagi sa pag-atake. Kon kini mao ang usa ka SQL-injection, sa pinili nga mga pangutana ngadto sa database.
3. Ang nag-unang tumong mao ang pag-angkon sa pribilehiyo nga access sa mga administratibo nga panel. Kon kini dili posible nga sa pagkab-ot sa maong mga, tingali kini nga bili sa pagsulay ug sa usa ka peke nga address sa pasiuna sa iyang script uban sa mga sunod-sunod nga pagbalhin sa biktima.
4. Kon sa bisan unsa nga pag-atake o penetration mapakyas, kini nagsugod sa pagkolekta data: ang adunay labaw nga vulnerability nga depekto anaa.
5. Base sa batid nga data sa seguridad ang giingon sa site tag-iya bahin sa mga problema ug sa unsa nga paagi sa pagsulbad kanila.
6. Vulnerabilities mga giwagtang uban sa iyang mga kamot o uban sa tabang sa ikatulo nga-sa partido agalon.

Pipila ka tips sa kaluwasan

Kadtong mga kaugalingon og sa iyang kaugalingong website, makatabang kini nga yano nga tips ug mga limbong.

Ang umaabot nga data kinahanglan nga sinala sa pagkaagi nga ang mga sinulatan o pangutana dili modagan mobarug nga-inusara o sa paghatag sa data gikan sa database.

Gamita komplikado ug lig-on nga mga password sa pag-access sa administrasyon panel, aron sa paglikay sa usa ka posible nga kabangis.

Kon ang website gibase sa usa ka sa CMS, kamo kinahanglan nga sa diha nga napamatud plugins, templates ug mga modules mahimong kanunay update niini ug sa paggamit. Ayaw overload sa site uban sa wala kinahanglana nga mga components.

Kasagaran check sa server troso alang sa bisan unsa nga matahapon mga panghitabo o mga buhat.

Susiha ang imong kaugalingon nga site sa pipila ka mga scanners ug mga serbisyo.

Ang husto nga kontorno server - ang yawe sa iyang lig-on ug luwas nga operasyon.

Kon mahimo, paggamit sa usa ka SSL certificate. Kini sa pagpugong interception sa personal o confidential data sa taliwala sa mga server ug sa user sa.

Mga tulonggon alang sa seguridad. Kini naghimo sa diwa sa pag-instalar o Sumpaysumpaya sa software sa pagpugong sa pagsulod ug sa gawas hulga.

konklusyon

Ang artikulo mibalik positibo nga pagpabakwit, apan bisan pa niini dili igo sa paghulagway sa detalye sa tanan nga mga bahin sa network security. Aron sa pagsagubang sa mga problema sa impormasyon seguridad, kini mao ang gikinahanglan nga tun-an sa usa ka daghan sa mga materyales ug mga instruksiyon. Ug usab sa pagkat-on sa usa ka hugpong sa mga himan ug mga teknolohiya. Ikaw mahimo nga mangita sa tambag ug tabang gikan sa propesyonal nga mga kompaniya nga specialize sa Pentest ug audit web mga kapanguhaan. Bisan tuod kini nga mga serbisyo, ug motalikod ngadto sa usa ka maayo nga kantidad, ang tanan nga sa mao usab nga seguridad site mahimong labi pa nga mahal sa ekonomiya termino ug sa reputational.