ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   wpscan, joomscan и все-все-все (https://forum.antichat.io/showthread.php?t=435499)

blackbox 08.01.2016 00:45

Попробовал в батч-режиме пачку сайтов прогнать через wpscan. Он выводит список уязвимостей, но зачастую для них нужно быть авторизированным пользователем хоть с какими-то правами. Много разных xss (от них вообще есть толк, учитывая что в вп куки могут быть httponly?). Плюс многие линки с описанием баг довольно скудные, а иногда вообще инфы нет. Какие вообще реальные баги, которые могут хоть какую-то практическую пользу принести? Хотелось бы знать, чтобы в логах неделями не копаться а сразу обратить внимание. Теперь joomscan - параша параш как по мне, сайт изучает долго, выводит кучу ненужной и false-positive информации. Есть ли тулзы покачественеее джумскана? А, вот еще cmsmap пробовал, но он вообще ничего по делу не выводил и вылетал если сайт не wp,joomla или drupal. В последних версиях может пофиксили, конечно, но все же. В общем, хотелось бы услышать комментарии по теме - чем пользоваться, как кобминировать тулзы и тд. Ну вы понели.

nikbim96 15.02.2016 16:00

Ну что касается joomscan забей на него нах он вата.

Что касается WPscan он тоже ватный чисто так для беглого аудита.

Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.

Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё Acunetix или Archni заюзать.

Как варик можно ещё skipfish попробовать, и w3af. Удачи

faza02 15.02.2016 19:28

Цитата:

Сообщение от nikbim96

Ну что касается joomscan забей на него нах он вата.
Что касается WPscan он тоже ватный чисто так для беглого аудита.
Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.
Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё
Acunetix
или Archni заюзать.
Как варик можно ещё skipfish попробовать, и w3af. Удачи

wpscan вообще для другой цели, какой аудит?

nikbim96 15.02.2016 19:47

Цитата:

Сообщение от yarbabin

wpscan вообще для другой цели, какой аудит?

Ну и для какой же он цели? Если мне не изменяет память, данная утилита используется, для сбора данных о всех известных уязвимостях в WordPress.

Это даже близко к какому то мего сканеру как zap не относится, там вся работа сканера заключается в сборе информации и её чек на наличие уязвимостей как в самой cms так и плагинах установленных. Ну и плюс ковсему там вроде как брут есть ещё. По сути утилита сама не о чем, все этом можно и ручками определить если знаешь как. А что касается аудита я имел в виду аудита безопасности WordPress.

nikbim96 15.02.2016 19:49

Ну и к великому сожалению большенство найденных багов этой утелитой как правило фуфлыжные. Очень маленький процент того что она даст тебе данные на живые уязвимости.

faza02 15.02.2016 20:53

Цитата:

Сообщение от nikbim96

Ну и для какой же он цели? Если мне не изменяет память, данная утилита используется, для сбора данных о всех известных уязвимостях в WordPress.
Это даже близко к какому то мего сканеру как zap не относится, там вся работа сканера заключается в сборе информации и её чек на наличие уязвимостей как в самой cms так и плагинах установленных. Ну и плюс ковсему там вроде как брут есть ещё. По сути утилита сама не о чем, все этом можно и ручками определить если знаешь как. А что касается аудита я имел в виду аудита безопасности WordPress.

ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей

BabaDook 15.02.2016 21:02

Цитата:

Сообщение от yarbabin

ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей

нам за это не платят как вам, поэтому нам только автоматику

psihoz26 15.02.2016 21:31

Цитата:

Сообщение от BabaDook

нам за это не платят как вам, поэтому нам только автоматику

С таким подходом лучше вообще не работать

blackbox 15.02.2016 22:23

Цитата:

Сообщение от nikbim96

Ну что касается joomscan забей на него нах он вата.
Что касается WPscan он тоже ватный чисто так для беглого аудита.
Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.
Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё
Acunetix
или Archni заюзать.
Как варик можно ещё skipfish попробовать, и w3af. Удачи

w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?

Цитата:

Сообщение от yarbabin

ручками перебирать все папки с именами плагинов? он не подходит для полного аудита, но вполне себе как помощь для дальнейшего поиска уязвимостей

А что для полного аудита подходит?

faza02 15.02.2016 23:22

Цитата:

Сообщение от blackbox

w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?
А что для полного аудита подходит?

вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.

nikbim96 16.02.2016 01:29

Цитата:

Сообщение от blackbox

w3af это как акунетикс только под никсы. Я пробовал и тот и другой но результаты честно говоря не вдохновили (может я что-то не так делал?). Из всей когорты утилит для анализа cms wpscan выглядит самым адекватным сейчас, но либо все хостеры патчат своих юзеров, либо мне просто не особо везло, но реальных полезных багов находил только пару раз. А у других какой опыт?
А что для полного аудита подходит?

Ошибочка w3af не только под nix он и под Win работает если нужно то вот качай тут.

Для нормального Audita Web используй OWASP ZAP или Burp Suite Pro.

Как по мне самый хороший вариант это OWASP ZAP если выбирать из утилит по безопасности.

Но как выше и было сказано, лучше ручками, и иметь хоть какие то навыки программирования.

Ибо без этих знаний сомневаюсь что что то понять можно будет начинающему пен-тестеру...

blackbox 16.02.2016 01:29

Цитата:

Сообщение от yarbabin

вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.

Я понимаю. Я про акунетиксы и w3af вообще спрашивал - такое впечатление что их применение чисто для генерации отчета по аудиту и ничего реального с помощью них не найти. По поводу багов в плагинах - конечно согласен, но я встречал в основном что на нужных сайтах плагинов стоит не много, а самые популярные плагины, понятное дело, уже всеми изучены и запатчены. Из реальных работающих багов были AFD и xss в админке WP 3.6, где редактор мог подсунуть код, который допишет шелл в темплейт страницы 404 нужной темы. Вот пожалуй и все что мне попадалось, но я повторюсь, что опыта в этом деле у меня не очень много.

Цитата:

Сообщение от nikbim96

Ошибочка w3af не только под nix он и под Win работает если нужно то вот качай
тут
.
Для нормального Audita Web используй OWASP ZAP или Burp Suite Pro.
Как по мне самый хороший вариант это OWASP ZAP если выбирать из утилит по безопасности.
Но как выше и было сказано, лучше ручками, и иметь хоть какие то навыки программирования.
Ибо без этих знаний сомневаюсь что что то понять можно будет начинающему пен-тестеру...

Я посмотрю что там за zap, по правде никогда не слышал о нем. Я вообще почему про конкретные сканеры движков спрашивал - потому что все эти аудиторы мягко говоря не ахти на практике. Какой-нибудь dirbuster полезнее будет, не? Да, и burp suite я углубленно не изучал, но он разве для автоматизированного поиска багов предназначен (не про версия)?

BabaDook 16.02.2016 11:25

Цитата:

Сообщение от psihoz26

С таким подходом лучше вообще не работать

Так я и не работаю

Цитата:

Сообщение от yarbabin

вы же понимаете, что WP - паблик движок, и ресерчат его постоянно. так же как и постоянно появляются секурити фиксы. аналогично и с плагинами для него. акунетиксы и в3афы еще с меньшей долей вероятности найдут там что-то, при условии, что нет ничего самописного. изучайте пхп и ищите баги в плагинах - это все, что я могу вам посоветовать.

+1

nikbim96 16.02.2016 13:20

Цитата:

Сообщение от blackbox

Я понимаю. Я про акунетиксы и w3af вообще спрашивал - такое впечатление что их применение чисто для генерации отчета по аудиту и ничего реального с помощью них не найти. По поводу багов в плагинах - конечно согласен, но я встречал в основном что на нужных сайтах плагинов стоит не много, а самые популярные плагины, понятное дело, уже всеми изучены и запатчены. Из реальных работающих багов были AFD и xss в админке WP 3.6, где редактор мог подсунуть код, который допишет шелл в темплейт страницы 404 нужной темы. Вот пожалуй и все что мне попадалось, но я повторюсь, что опыта в этом деле у меня не очень много.
Я посмотрю что там за zap, по правде никогда не слышал о нем. Я вообще почему про конкретные сканеры движков спрашивал - потому что все эти аудиторы мягко говоря не ахти на практике. Какой-нибудь dirbuster полезнее будет, не? Да, и burp suite я углубленно не изучал, но он разве для автоматизированного поиска багов предназначен (не про версия)?

Они все для автоматического тестирования предназначены, что касаемо burp suite то для анализа и эксплуатации уязвимостей его можно применять по разному, в нем куча различных фишек есть, как на пример Burp Proxy, которая перехватывает HTTP/ HTTPS-трафик браузера и позволяет с помощью других утилит выполнять с данными различные действия. Для тестирования CMS я думаю будет не плоха использовать его.

Но не надо думать что одной программой, можно протестировать сайт на 100% и найти кучу багов, как и в любом из тестов, проводится разведка и сбор информации. Потом полученные данные анализируются, проверяются на наличие в открытом доступе эксплоитов как на сам сервер так и на движок сайта если он из публичных. После этого только уже прибегаешь к помощи таких утилит как Burp или ZAP.

blackbox 16.02.2016 21:07

nikbim96, я понимаю что одной программой нельзя провести полный аудит. Вы сами-то считаете целесообразным использовать какой-нибудь акунетикс или в3аф: что полезное получилось находить?

BabaDook 16.02.2016 21:27

Да тут все сканы разные, например овасп просматривает исходный код в к например такое акунетикс не найдёт, а овасп найдёт. акунетикс работает хаатично, проверя на хсс и инклуд одновременно . запрос такой, запрос такой, овасп сперва пройдёт в поисках одной уязвимости, потом другой

blackbox 17.02.2016 12:13

Цитата:

Сообщение от BabaDook

Да тут все сканы разные, например овасп просматривает исходный код в к например такое акунетикс не найдёт, а овасп найдёт. акунетикс работает хаатично, проверя на хсс и инклуд одновременно . запрос такой, запрос такой, овасп сперва пройдёт в поисках одной уязвимости, потом другой

Какой овасп? (И какой тогда профи в акунетиксе?)

BabaDook 17.02.2016 13:02

Цитата:

Сообщение от blackbox

Какой овасп? (И какой тогда профи в акунетиксе?)

owasp-zap

nikbim96 18.02.2016 12:29

Цитата:

Сообщение от blackbox

nikbim96
, я понимаю что одной программой нельзя провести полный аудит. Вы сами-то считаете целесообразным использовать какой-нибудь акунетикс или в3аф: что полезное получилось находить?

OWASP ZAP

blackbox 18.02.2016 19:52

Цитата:

Сообщение от nikbim96

OWASP ZAP

Намек понял.

nikbim96 18.02.2016 20:27

Цитата:

Сообщение от blackbox

Намек понял.

Изучи OWASP ZAP как отче наш и другие сканеры тебе не понадобятся.

Это можно сказать один из самых крутых тулз что есть в открытом доступе.

И вообще начни изучать веб-хакинг с материалов OWASP тут

Не всегда автоматизированными средствами удается что то стоящие найти.

Они как правило работаю по имеющемуся в них сценарию, а в OWASP ZAP их самому можно писать.

blackbox 19.02.2016 01:50

Цитата:

Сообщение от nikbim96

Изучи OWASP ZAP как отче наш и другие сканеры тебе не понадобятся.
Это можно сказать один из самых крутых тулз что есть в открытом доступе.
И вообще начни изучать веб-хакинг с материалов OWASP
тут
Не всегда автоматизированными средствами удается что то стоящие найти.
Они как правило работаю по имеющемуся в них сценарию, а в OWASP ZAP их самому можно писать.

В целом про wh я понятие имею, но про zap раньше не слышал. Попробую конечно.

grimnir 02.03.2016 21:22

Акунетикс 10.5 более менее полезные вещи стал выводить для WP

.Light. 03.03.2016 07:02

Цитата:

Сообщение от grimnir

Акунетикс 10.5 более менее полезные вещи стал выводить для WP

Есть крякнутый уже?

grimnir 03.03.2016 12:56

Цитата:

Сообщение от .Light.

Есть крякнутый уже?

да, все по той же ссылке где обычно, у китайца

rct 13.03.2016 15:52

whatweb сдох и завонялся. Для угробищной рубя 1.8, на которой оно крутится, похоже надо собирать openssl отдельно. Есть что-нибудь похожее на whatweb?


Время: 17:29