Как проверить свой хостинг ( сайт ) на уязвимости.

Тема в разделе "Хостинг и настройка серверов", создана пользователем xatop, 16 мар 2013.

↑ ↓
  1. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    Для этого идем сюда
    http://www.mavitunasecurity.com/communityedition/#prettyphoto[CE]/6/

    и юзаем веб-версию Netsparker или качаем его.
    Web Vulnerability Scanner

    Netsparker Community Edition is a SQL Injection Scanner.
    It's a free edition of our web vulnerability scanner for the community so you can start securing your website now. It's user friendly, fast, smart and as always False-Positive-Free.

    It shares many features with professional edition. It can detect SQL Injection and XSS issues better than many other scanners (if not all), and it's completely FREE.
     
    • Мне нравится Мне нравится x 5
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Кто-то тестирует для защиты, а кто-то для взлома !sm3888

    Наверное зря пишу, но не могу сдержаться, вот знаю ещё такой сервис:

    http://pr-cy.ru


    Так-то он для сеошников и поисковой оптимизации предназначен, НО, выдаёт кучу инфы, которая может-быть интересна хакеру, а именно версия ОС, версия Apache, версия PHP и многое другое...sm3888

    Это так, для размышления !

    И ещё вот сервисы, для определения движков сайтов, это уже для совсем ленивых:

    http://www.itrack.ru/whatcms/

    http://2ip.ru/cms/
     
    • Мне нравится Мне нравится x 5
  3. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    Под хайдом архив четыре скрипта, каждый для своей CMS — Drupal, Joomla, WordPress и TextPattern. Вот устройство одного из них, скрипты работают по одному принципу.
    Код:
    #/usr/bin/perl
     
    # iswp.pl script
    # (c) Alexandr A Alexeev 2009 | eax.me
     
    use strict;
     
    my $dn = shift;
     
    print "Invalid domain name\n" and exit 1
      unless($dn =~ /^[a-z0-9\.\-]+$/);
     
    my $data = `wget -q $dn -O -`;
     
    print "Download failed: $?\n" and exit 2 if($?);
     
    my $cnt = 0;
     
    $cnt ++ if($data =~ /UTF\-8/gi);
    $cnt ++ if($data =~ /\/wp\-content\/themes\//gi);
    $cnt ++ if($data =~ /\/wp\-content\/plugins\//gi);
    $cnt ++ if($data =~ /WordPress/gi);
    $cnt ++ if($data =~ /\/wp\-includes\//);
    $cnt ++ if($data =~ /\/xmlrpc\.php/);
     
    $cnt = int $cnt * 100 / 6;
     
    print "WordPress:$cnt\n";
     
    • Мне нравится Мне нравится x 5
  4. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    PHPFastScanner - многопоточный Reverse-IP сканнер на PHP

    Актуальная версия: 3.2 (26.11.2011)
    Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.

    Основные возможности:
    • Анализ соседей целевого сайта по Reverse-IP
    • Определение используемых движков (в базе 68 сигнатур)
    • Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
    • Поиск phpinfo, phpmyadmin, sypex dumper
    • Сканирование структуры сайта + вложенное сканирование каталогов
    • Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
    • Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
    • Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
    • Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
    • Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
    • Поддержка Keep-Alive соединений (увеличение скорости)
    • Поддержка многопоточности (увеличение скорости)
    • Понятный интерфейс, множество различных настроек, наличие встроенного FAQ
    Вообще это малая часть всех возможностей, все таки 130кб чистого кода для сканера это вам не цацки пецкать, все не опишешь =)
    Ксатати более подробно вы сможете почитать во встроенном FAQ

    При разработке основной упор делался на возможность дальнейшего расширения сканера новым функционалом. Поэтому в следующих версиях, думаю, появится много нового. А пока надо бы его потестить и почистить от багов, если таковые имеются.

    Установка:
    Распакуйте архив и выставьте права на запись в папку tmp/

    Благодарности:
    • Grey - за большое количество идей и помощь
    • oRb - за дизайн содранный из его WSO
    • m0Hze - за is_numeric и за словари к сканеру структуры
    • eLwaux - за большую часть сигнатур движков

    При размещении данной утилиты на сторонних сайтах, обязательно указание авторства и наличия прямого линка на данную страницу:
    __https://rdot.org/forum/showthread.php?t=1160
    Вложения
    [​IMG] PHPFastScanner_31b.rar (83.7 Кб, 1553 просмотров)
    [​IMG] PHPFastScanner_3.2.zip (91.7 Кб, 141 просмотров)
     
    • Мне нравится Мне нравится x 6
  5. xatop old root
    xatop
    Ответить в чате

    Форумчанин

    Регистрация:
    13.03.2013
    Сообщения:
    108
    Симпатии:
    359
    Пол:
    Мужской
    Репа:
    +359 / 0 / -0
    • Мне нравится Мне нравится x 6
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Действительно прикольная вещь.Сейчас с помощью этой хрени попробовал посканить наш форум на настройках по минимуму (ничего интересного) и тот стихофорум где я тусовался ранее,здесь уже более интересно.Тут можно получить доступ в веб-интерфейсу админки баз данных.Правда есть ограничения по правам доступа.Олег ты только не забань меня ненароком.Я можно сказать провожу пентестинг нашего форума на наличи уязвимостей.Кстати к этому сканеру,должна ещё прилагаться эта статья от его создателя.Кто хочет протестировать данный сканер:PHPFastScanner v3.1b иPHPFastScanner v3 .2
    Во втором сканере заменил оригинальный файл class.CBingReverseIP,на более усовершенствованный.Вообщем я их вообще не так применял) не в том направлении.Всё гораздо хитрее.При настройках на максимум у меня завис браузер,90% оперативы загружено,помогла только перезагрузка компа.
    З.Ы.Спросим у Олега,что это вообще за хрень такая и как ей правильно пользоваться.

    Снимок2.PNG Снимок.PNG
     
    • Мне нравится Мне нравится x 5
  7. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда
     
    • Мне нравится Мне нравится x 5
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)
     
    • Мне нравится Мне нравится x 5
  9. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть
     
    • Мне нравится Мне нравится x 5
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Если бы это было так просто),тогда бы все бы сайты лежали взломанные нубами.Всему нужно учится и чем раньше,тем лучше,потому что сейчас уже башка не так восприимчива к информации,чем например лет в 19.
     
    • Мне нравится Мне нравится x 5

Поделиться этой страницей