HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Принцип работы сканера web-уязвимостей.
  #1  
Старый 26.07.2009, 18:12
NazGull
Новичок
Регистрация: 16.07.2009
Сообщений: 4
С нами: 8854177

Репутация: 5
По умолчанию Принцип работы сканера web-уязвимостей.

Здравствуйте.
Хочу написать на пхп свой сканер web-уязвимостей (xss,sql,php-inj) и задумался над принципом его работы. Тупо получать исходный код страницы - выдирать регуляркой все ссылки данного сайта с параметрами и потом в место параметров подставлять спецзапросы - не айс, потому что тогда не учитываются данные, передающиеся методом POST...

Подскажите пожалуйста более действенные методы, которые используются в сканерах. Исходные коды на пыхе приветствуются
 
Ответить с цитированием

  #2  
Старый 26.07.2009, 18:26
FireFenix
Постоянный
Регистрация: 03.06.2009
Сообщений: 385
С нами: 8915117

Репутация: 389
По умолчанию

Поиск рулит:

http://forum.antichat.ru/showthread.php?t=33950
https://forum.antichat.ru/showthread.php?t=112854
https://forum.antichat.ru/showthread.php?t=70035
 
Ответить с цитированием

  #3  
Старый 26.07.2009, 18:36
NazGull
Новичок
Регистрация: 16.07.2009
Сообщений: 4
С нами: 8854177

Репутация: 5
По умолчанию

Первая ссылка более-менее по теме, но на вопрос я там ответа не получил - там принцип получения всех параметров и форм не описан. Остальные: описание сканера и сканера портов - не по теме.
 
Ответить с цитированием

  #4  
Старый 26.07.2009, 18:46
m0Hze
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами: 9223466

Репутация: 3171


По умолчанию

Вообще - писать такие вещи на php самый настоящий изврат.Это нужно писать на компилируемых языках, темболее для хорошего сканера нужна много поточность,которой в php нет(кроме тупой имитации).Так что советую пользоваться уже написаными и не мучать себя и других.
 
Ответить с цитированием

  #5  
Старый 26.07.2009, 19:11
NazGull
Новичок
Регистрация: 16.07.2009
Сообщений: 4
С нами: 8854177

Репутация: 5
По умолчанию

сканер будет онлайн-сервисом. Писать на asp.net не позволительно. К тому же в целях - саморазвитие, поэтому замученных не держу в этом топике

Последний раз редактировалось NazGull; 26.07.2009 в 19:14..
 
Ответить с цитированием

  #6  
Старый 26.07.2009, 19:34
neprovad
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами: 9769287

Репутация: 711


По умолчанию

действенный метод посмотреть как работают уже существующие сканеры.
acunetix wvs, watchfire appscan и т.п.
 
Ответить с цитированием

  #7  
Старый 26.07.2009, 19:40
NazGull
Новичок
Регистрация: 16.07.2009
Сообщений: 4
С нами: 8854177

Репутация: 5
По умолчанию

Это собственно я и пытаюсь у вас узнать
 
Ответить с цитированием

  #8  
Старый 27.07.2009, 02:37
Gar|k
Постоянный
Регистрация: 20.03.2009
Сообщений: 564
С нами: 9023100

Репутация: 395


По умолчанию

сканнер как онлайн сервис??? а о нагрузке сервака ты подумал... твой сервис уйдет в даун при первых 10 пользователях... такие вещи пишутся как говорили или на компилируемых языках или хотябы на языках которые выполняются на стороне клиента java, javascript, action script...
 
Ответить с цитированием

  #9  
Старый 27.07.2009, 09:46
login999
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
С нами: 9427413

Репутация: 973


По умолчанию

Цитата:
Сообщение от Gar|k  
сканнер как онлайн сервис??? а о нагрузке сервака ты подумал... твой сервис уйдет в даун при первых 10 пользователях... такие вещи пишутся как говорили или на компилируемых языках или хотябы на языках которые выполняются на стороне клиента java, javascript, action script...
Угу, пускай попробует гуловский натив клиент...
 
Ответить с цитированием

  #10  
Старый 27.07.2009, 10:31
Sharky
Познавший АНТИЧАТ
Регистрация: 01.05.2006
Сообщений: 1,021
С нами: 10541186

Репутация: 921


По умолчанию

схема работы проста: в посылаются гет и пост запросы, затем парсится ответ на наличие ошибок.. по ошибкам выявляется тип уязвимости...результат в лог

и как уже не раз сказано выше на php лучше такого не делать, потмоу что:
1) ОЧЕНЬ низкая скорость
2) поскольку это будет онлайн сервисом будет ОГРОМНАЯ нагрузка не сервер (одним серваком тут далеко не обойдёшься)

я бы посоветовал подучить java и писать на ней
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
асм, дизасм, принцип работы процов на определенном уровне. Cthulchu "Железо" 0 05.01.2009 20:14
Firewall: принцип работы D=P=CH= MOD= Защита ОС: вирусы, антивирусы, файрволы. 0 02.10.2006 22:36



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.