Goobaha dayacanka. Website Xisaabta socota. Barnaamijka si scan site for dayacanka

arrinta website ammaanka weligii sida ba'an sida ee qarniga 21aad. Dabcan, tani waa ay sabab u tahay faafidda ballaadhan oo internetka ku dhowaad dhammaan warshadaha iyo beeraha. Maalin kasta, tuugada iyo khubarro ka tirsan amaanka ka helay goobaha dayacanka cusub yar. Qaar badan oo iyaga ka mid ah isla markiiba waa milkiilayaasha xiran iyo horumarinta, laakiin qaar ka mid ah ayaa weli sidii yahay. Kaasi oo loo adeegsaday by weerarka soo qaaday. Laakiin iyadoo la isticmaalayo goobta jabsaday oo keeni karta dhibaato weyn oo ay labada isticmaala iyo server ah on taas oo waxaa lagu haynayaa.

Noocyada dayacanka sites

Marka aad la abuuro pages Web isticmaalo by badan oo ka mid ah farsamooyinka la xidhiidha electronic. Qaar ka mid ah casri ah iyo waqti-baaro, iyo qaar ka mid ah waa cusub oo aan la xirto. Si kastaba ha ahaatee, waxaa jira noocyo fara badan oo ah goobo ka mid ah dayacanka:

• XSS. site kasta wuxuu leeyahay foom yar. Waxay kaa caawin users galaan xogta oo aad hesho natiijo, diiwaangelinta waxaa lagu fuliyaa ama idinku soo diro fariimaha. Bedelay qaab qiimaha gaarka ah waxay keeni kartaa fulinta script gaar ah, taasoo keeni karta xadgudub ku ah daacadnimada goobta iyo xogta u dhimin.
• SQL-duro. Hab aad caadi u ah oo wax ku ool ah si ay u helaan xogta qarsoodi ah. Tani waxay dhici kartaa iyada oo bar cinwaanka, ama via foomka. Geedi socodka waa la fuliyay by badalaa qiimaha aan la sifeeyo kartaa qoraallo iyo su'aal database ah. Iyo aqoonta haboon waxay keeni kartaa jebinta ammaanka ah.

• HTML-baadi. Shiidaa la mid ah sida in of XSS ah, laakiin aan gundhig code script, iyo HTML.
• nuglaanshaha ee goobaha la xidhiidha meelaynta files iyo tusaha in goobaha default ah. Tusaale ahaan, isagoo garanaya qaab dhismeedka of pages web, waxad ka heli kartaa code guddiga maamulka.
• ilaalin aan ku filneyn of Mudanayaasha ee nidaamka qalliinka on server ka. Haddii kasta, nuglaanshaha joogo, markaas weeraryahanka waa in ay awoodaan in ay fuliyaan code aan loo aabo yeelin.
• passwords Bad. Mid ka mid ah goobaha dayacanka ugu cad - isticmaali qiimaha daciif ah si ay u ilaaliyaan oo ay account. Gaar ahaan haddii ay tahay maamulka.
• Kaydka dhulka qarqinaya. Waxaa loo isticmaalaa marka bedelay xogta laga xusuusta, si aad u samayn kartaa hagaajin iyaga u gaar ah. Waxay dhacdaa marka lug of software xasilooneyn.
• Bedelaadda qaybaha your site. Recreating nuqul ah saxda ah ee website-ka gashid si user ah, kuwaas oo aan la tuhunsan yahay kartaa trick ah oo geli faahfaahintaada shakhsi ahaaneed, ka dib markii qaar ka mid ah maraya weeraryahanka.
• Diidmada adeegga. Guud ahaan xilli la fahamsan yahay weerarkii lagu qaaday server markuu u helo tiro badan oo ah codsiyada in aan xamili karo, iyo si fudud "dhibciyo" ama noqdo awoodin in ay u adeegaan dadka isticmaala kuwan. nuglaanta The been in xaqiiqda ah in filter IP ah aan si fiican u qaybiyay.

Nuglaanshaha Scan Site

takhasusay Security sameeyay hubinta gaar ah khayraadka web for khaladaadka iyo cilladaha oo keeni kara in ay arrinkaas ka. site xaqiijinta noocan oo kale ah u yeedhay pentesting. Geedi socodka lafaguraa code isha isticmaalo oo ay ku CMS, joogitaanka modules xasaasi ah iyo baaritaano kale badan oo xiiso leh.

SQL-duro

Noocan ah goobta imtixaanka go'aaminaya haddii script shaandheysaa qiyamka helay diyaarinta codsiyada in database ah. Samee tijaabooyin fudud waxay noqon kartaa gacanta. Sida loo helo nuglaanta SQL on goobta? Yaa la hadli doonaa.

Tusaale ahaan, waxaa jira site a my-sayt.rf. On boggiisa hore ayaa buugga a. Going u galay, aad waxaa laga heli karaa wax ka bar cinwaanka sida aan-sayt.rf /? Product_id = 1. Waxay u badan tahay in tani ay tahay codsi ah in database ah. Si aad u ogaato marka hore a dayacanka goobta isku dayi kartaa inaad ku bedelato oo isku xigta hal xigasho. Sidaas darteed, waa in ay ahaataa anigaa iska-sayt.rf /? Product_id = 1 '. Haddii aad riix "Ku qor" button on bogga, fariin qalad ah, nuglaanshaha jira.

Haddaba waxaad isticmaali kartaa fursadaha kala duwan ee doorashada ee qiimaha. ka shaqeeya isku darka isticmaalay reeban, faallo iyo kuwo kale oo badan.

XSS

Noocan ah nuglaanta laga yaabaa in laba nooc - firfircoon oo dadban.

Active ka dhigan tahay hordhaca ah ee goosin ka mid ah code in database ama file on server ka. Waa khatar badan oo aan la saadaalin karin.

hab dadban ku lug xerogeliso dhibbanaha cinwaan gaar ah oo goobta ay ku jiraan code xaasidnimo ah.

Isticmaalka Weeraryahanka XSS xadin yaabaa Cookies. Oo iyana waxay ku jiri karaan macluumaadka user muhiim ah. Xitaa cawaaqib more ba'an ayaa la xaday fadhiga.

Sidoo kale, weeraryahanka isticmaali kartaa script ah goobta si ay u sameeyaan waqtiga diraya siiyey user macluumaadka si toos ah gacmaha weerar galay.

Qalabaynta of habka raadinta

Shabakadda badan oo xiiso leh site scanners nuglaanta ka heli kartaa. Qaar ka mid ah oo keliya yimaadaan, qaar ka mid ah la timid dhawr la mid ah oo darsadeen hal image ah, sida Kali Linux. sii wadi doonaan si ay u bixiyaan muuqaalka guud ee qalabka ugu caansan in qalabayn nidaamka of ururinta macluumaadka ku saabsan dayacanka.

Nmap

scanner ugu fudud ee website nuglaanshaha in tusi kartaa faahfaahinta sida dekadaha iyo adeegyada nidaamka qalliinka loo isticmaalo. Codsiyada caadiga ah:

nmap -sS 127.0.0.1, halkaas oo halkii cinwaanka IP maxalliga ah waa lagama maarmaan si ay u badali goobta dhabta ah ee imtixaanka.

Warbixin Gunaanad on adeegyada socda waxa on, kaas oo dekedaha furan yihiin waqtigan. Iyada oo ku saleysan macluumaadkan, waxaad isku dayi kartaa in aad isticmaasho nuglaanta hore u aqoonsaday.

Halkan waxaa ku qoran dhowr furayaasha eexda ah nmap scan:

• -Waxaa. scan dagaal badan in tuuray macluumaad badan, laakiin waxaa laga yaabaa in ay qaataan waqti badan.
• -O. Waxaa la isku dayayo in la garto nidaamka qalliinka loo isticmaalo on your server.
• -D. Spoof cinwaanka IP ah oo ka kaas oo jeeg la sameeyo marka aad u aragto in ay ahayd wax aan macquul aheyn in ay Guda server si loo ogaado meesha weerarku dhacay.
• -p. kala duwan ee dekedaha. Hubinta adeegyada dhowr ah u furan.
• -S. Waxay kuu ogolaanaysaa inaad sheeg cinwaanka IP saxda ah.

WPScan

Barnaamijkan waa in iskaan site for dayacanka ka mid ah qaybinta Kali Linux. Loogu talagalay in lagu hubiyo khayraadka web on WordPress ku CMS. , waxaa ku qoran Ruby, ordo sidan oo kale:

--help guduud ./wpscan.rb. Amarkani waxa uu tusi doono oo dhan doorashada la heli karo iyo warqado.

Amarka waxaa loo isticmaali karaa in uu ordo baaritaan fudud:

sardiyos ./wpscan.rb --url some-sayt.ru

Guud ahaan WPScan - quruxsan fududahay in la isticmaalo korontada si ay u tijaabiso your site on dayacanka "Sawirka".

Nikto

site Barnaamijka hubin dayacanka, kaas oo sidoo kale lagu heli karaa qaybinta Kali Linux. Waxay bixisaa awoodaha awood leh oo dhan ay xog:

• maamuuska Scan la HTTP iyo https;
• Goldogob qalab badan oo la dhisay-ogaanshaha,
• electaroonika badan, xataa kala duwan oo aan ahayn caadiga ah;
• taageero isticmaalka server wakiil;
• waxaa suurtagal ah si ay u hirgeliyaan iyo xidhiidh fur-tago.

Si aad u bilowdo u baahan nikto nidaamka ayaa lagu rakibay perl. Falanqaynta ugu fudud waxaa la sameeyaa sida soo socota:

perl nikto.pl -h 192.168.0.1.

Barnaamijka waxaa la "quudin" kartaa file qoraalka in taxayaa cinwaanka server Web ah:

perl nikto.pl -h file.txt

Habkani wuxuu ka caawin doonaa ma aha oo kaliya xirfadlayaasha ammaanka si ay u qabtaan Pentest, laakiin maamulka network iyo khayraadka si ay u ilaaliyaan goobaha caafimaadka.

Suite daaci

A qalab aad u awood badan si aad u hubiso ma aha oo kaliya goobta, laakiin socodka network kasta. Ayaa shaqada ka dhisay-in ka mid ah codsiyada ka bedelidii ayaa maray server imtixaanka. scanner Smart oo awood u si toos ah u raadiyaan dhawr nooc oo ah dayacanka mar. Waxaa suurto gal ah si loo badbaadiyo natiijada hawlaha hadda ka dibna u bilaabaan. Dabacsanaan si ay u ma aha oo kaliya isticmaalaan dhinac saddexaad fur-tago, laakiin sidoo kale si ay u qoraan adiga kuu gaar ah.

utility The leedahay interface user garaafyada u gaar ah, kaas oo shaki ku haboon, gaar ahaan dadka isticmaala laylis.

SQLmap

Malaha aalad ugu haboon oo awood badan ee wax ka goobidda SQL iyo XSS dayacanka. Qor faa'iidooyinka lagu sheegi karaa sida:

• Taageero ku dhowaad dhammaan noocyada kala duwan ee nidaamka maamulka database;
• awood u leh inay u isticmaalaan lix siyaabood oo aasaasi ah si loo ogaado codsiga iyo SQL-isku duro,
• Users baabi'iyaasha ah hab, hashes ay, sirta ah iyo macluumaadka kale.

Ka hor inta la isticmaalayo SQLmap badanaa marka hore laga helay meel u nugul via dork ah - matoorada maran su'aal search inuu kaa caawiyo inaad gacan bir ah khayraadka qiyaasay web lagama maarmaanka ah.

Markaas cinwaanka bogga waxaa loo wareejiyey barnaamijka, iyo waxa ay baaraan. Haddii guul, qeexidda utility nuglaanta laftiisa iyo isticmaalka inay heli kartaa marin buuxa u hesho khayraadka.

Webslayer

utility yar oo kuu ogolaanaya inaad si ay u weeraraan caayaan ciidanka. Foomamka karaa "caayaan ciidamada" nolosha, oo xuduudaheedu kulan ee goobta ka. Waxa ay taageertaa multi-threading, taas oo saameyn ku waxqabadka fiican. Waxa kale oo aad dooran kartaa bogagga passwords recursively nested. Waxaa jira taageero wakiil ah.

Ilaha hubinta

In shabakada waxaa jira dhawr qalabka si ay u tijaabiso nuglaanta of sites online:

• coder-diary.ru. site Simple imtixaanka. Just gali cinwaanka, khayraadka iyo guji "Ka hubi". search wuxuu qaadan karaa waqti dheer, sidaas darteed waxaad cayimi kartaa cinwaanka emailkaaga si ay u yimaadaan dhamaadka natiijada si toos ah imtixaanka dhaansha. waxaa jira 2,500 oo dayacanka oo loo yaqaan ee goobta.
• https://cryptoreport.websecurity.symantec.com/checker/. jeeg Service Online for SSL iyo shahaado TLS shirkadda iska horimaad hubeysan. Waxay u baahan tahay oo kaliya cinwaanka, khayraadka.
• https://find-xss.net/scanner/. Mashruucu waa file ah PHP gaar ah uu baaritaanku websites for dayacanka ama ZIP archive. Waxaad cayimi kartaa noocyada files in la marsiiyey iyo calaamadaha, kuwaas oo gaashaan by xogta ee script ah.
• http://insafety.org/scanner.php. Scanner si ay u tijaabiso sites on madal "1C-Bitrix". interface Simple iyo dareen leh.

geynta ee iskaanka for dayacanka

Qof kasta oo ku takhasusay ammaanka network qabata jeeg on geynta fudud:

1. Marka ugu horeysa waxa ay gacanta ama iyadoo la isticmaalayo qalab iswada falanqeeyaan haddii ay jiraan wax u nuglaanshaha online. Haddii ay haa tahay, ka dibna waxa ay go'aamiso nooca.
2. Iyadoo ku xiran xayawaankan nuglaanta joogo dhistaa guuro dheeraad ah. Tusaale ahaan, haddii aan ogaan CMS ah, ka dibna xulashada habka ku haboon ee weerarka. Haddii ay tahay a SQL-duro, ay su'aalo xulay in ay database.
3. Ujeedada ugu weyn waa in la helo mudan in guddiga maamulka helaan. Haddii ay suurto gal tahay in la gaaro sida aan ahaa, waxaa laga yaabaa in ay mudantahay in ay isku dayaan oo ay sameeyaan cinwaan been abuur ah kula hordhaca ah ee uu script la kala iibsiga ku xiga ee dhibbanaha.
4. waxaa nuglaanta ka badan oo cilladaha joogaan: Haddii weerar kasta ama lays ku guuldareysto, waxa ay bilowdey in ururinta xogta.
5. Iyada oo ku saleysan khabiir ammaanka xogta ah ayaa sheegay in milkiilaha goobta ku saabsan dhibaatooyinka iyo sida loo xalin ah.
6. Dayacanka waxaa hareen gacmaha ama iyadoo la kaashanayo sayid dhinac saddexaad.

A talooyin dhawr ammaanka

Kuwa is sameystaa website u gaar ah, caawin doona this tilmaamahan fudud iyo tabaha.

xogta soo socda waa in lagu sifeeyo si qabnay ama weydiimo ma ordi karaan taagan-oo keliya ama in la siiyo xogta ka database ah.

Isticmaal passwords adag oo xoog badan si ay u helaan guddiga maamulka, si looga fogaado a caayaan ciidan ay suurtagal tahay.

Haddii website-ka ku salaysan yahay a CMS ah, waxaad u baahan tahay sida ugu dhaqsaha badan la xaqiijiyay plugins, habyaalada iyo modules noqon kartaa si joogto ah la casriyeeyo iyo dalban. Ha buux goobta la qaybaha aan loo baahnayn.

Badanaa hubi Guda server ee wax dhacdooyinka ama falalka laga shakiyo.

Hubi site u gaar ah oo dhowr ah scanners iyo adeegyada aad.

The qaabeynta server saxda ah - oo fure u ah in ay hawlgalka xasilloon oo ammaan ah.

Haddii ay suurtagal tahay, isticmaal Shahaadada SSL. Tani waxay ka hortagi doona in dhexda looga xogta shakhsiga ah ama si qarsoodi ah oo u dhexeeya server iyo user ah.

Alaabtii ammaanka. Waxa macno si loo soo dajiyo ama isku xiro software ah si looga hortago in galidda iyo hanjabaad dibadda.

gunaanad

article soo jeestay barakac wanaagsan, laakiin xitaa kuma filna in lagu qeexo si faahfaahsan dhammaan dhinacyada ammaanka network. Si aad ula qabsan dhibaatada ammaanka macluumaadka, waxaa lagama maarmaan ah inaad wax ka barato wax badan oo ka mid ah maaddooyinka iyo tilmaamo. Oo weliba si ay u bartaan farabadan of qalab iyo teknoolajiyada. Waxaad ka raadsan kartaa talo iyo caawin shirkadaha xirfadle ku takhasusay Pentest iyo khayraadka web hubinta. Inkastoo adeegyadan, iyo qadar wanaagsan soo celin doonaa, ammaanka goobta isku wada mid noqon kartaa wax badan ka qaalisan marka la eego dhaqaalaha iyo sumcad.