- Завантаження та перший запуск IronWASP
- Аналіз сайтів з IronWASP
- Оцінка результатів IronWASP
- Складання звітів в IronWASP
- Просунуте використання IronWASP
- висновок
IronWASP - це безкоштовна програма з відкритим вихідним кодом для сканування безпеки веб-додатків. Її автором є Lavakumar Kuppan. Сам автор не соромиться і називає свій автоматичний інструмент з пошуку проблем з безпекою на веб-сайтах одним з кращих в світі сканерів безпеки веб-сайтів і веб-додатків.
Найбільшою його особливістю є те, що написаний спеціально під Windows. Він абсолютно безкоштовний, у нього відкритий вихідний код, програма відкрита для додавання нових полігонів та модулів.
Інші ключові особливості IronWASP ви знайдете в картці програми IronWASP .
Завантаження та перший запуск IronWASP
Сторінка програми: http://ironwasp.org/index.html
Сторінка для скачування: http://ironwasp.org/download.html
Якщо у вас не скачується програма з офіційного сайту, то посилання https://ironwasp.org/ironwasp.zip замініть на http://ironwasp.org/ironwasp.zip (Тобто протокол HTTPS замініть на HTTP). Якщо сайт взагалі недоступний, то дивіться посилання в цьому коментарі: https://hackware.ru/?p=1274#comment-6841
Після скачування розархівуйте файл, запустіть IronWASP.exe. Невелике попередження: при скануванні програма зберігає величезну кількість балок, розмір яких може розтягнутися на гігабайти, тому перемістіть папку з програмою на диск з достатньою кількістю місця. До речі, програма є портативної - т. Е. Не вимагає установки.
Якщо ви хочете одночасно сканувати 2 і більше сайтів, то зробіть кілька папок з програмою і кожну з них запускайте окремо для певного сайту.
При кожному запуску ми бачимо таке вікно:
IronWASP необхідний локальний HTTP проксі сервер, щоб вона змогла аналізувати веб-трафік. Не потрібно турбуватися - програма все зробить сама. Саме цьому і присвячено перше вікно. Ми можемо поміняти порт, встановити, чи може наш проксі сервер приймати підключення з віддалених хостів, включити або відключити активну підслуховування трафіку з веб-браузерів, задати налаштування вищого проксі (якщо ми хочемо приховати свій реальний IP). Можна залишити все настройки за замовчуванням - для аналізу веб-сайтів вони підходять. У разі використання кілька копій IronWASP для паралельного сканування декількох веб-сайтів, то для кожного екземпляра IronWASP можна задати свій власний порт HTTP проксі.
Аналіз сайтів з IronWASP
Ось так виглядає головне вікно програми (я вже ввів адресу сайту для сканування):
Після введення адреси сайту, натисніть кнопку Start Scan. Відкриється майстер, який проведе нас через всі кроки налаштування сканування. Я опишу кожен крок, але скажу відразу - можна просто натискати «Далі-Далі-Далі ...» - все оптимальний настройки сканування обрані за замовчуванням.
У першому вікні ніяких налаштувань немає - тільки перевіряється доступність сайту. Натискаємо далі і бачимо:
Тут ми можемо змінити налаштування павука, верхній перемикач вибирає тільки індексування сторінок, або індексування з подальшим скануванням. За замовчуванням обраний другий варіант. Трохи нижче - кількість паралельних потоків індексування веб-сайту (за замовчуванням 3). І зовсім внизу - налаштування заголовків User-Agent і впровадження додаткового рядка в заголовки. Ці настройки потрібно міняти тільки якщо ви розумієте, чого ви хочете. Можна просто натиснути далі, тепер ми бачимо:
Можна задати вихідну точку сканування, визначитися, чи потрібно сканувати субдомени, задати URL для пропуску під час перевірки. Можна нічого не міняти. далі:
Тут нас зустрічають безпосередньо настройки сканера. У самому верху нас запитують, які частини запитів повинні бути просканувати. За замовчуванням галочки стоять на Запити, Тіло, Частини URL адрес. Галочки зняті з Кукіз і Імен параметрів запитів і тіла.
Трохи нижче вибрано, на які веб-уразливості потрібно сканувати. Чим більше вибрано - тим довше сканування (за замовчуванням вибрано все). Налаштування цілком оптимальні, тому можна їх залишити за замовчуванням. далі:
У ньому можна налаштувати виключення для параметрів запитів і тіла. Натисніть Далі:
Це останнє вікно. Там є місце під галочку, якщо натиснути яку, IronWASP питатиме, які саме запити потрібно просканувати. Це може значно прискорити процес сканування для великих сайтів, але ви повинні розуміти, що саме відбувається і що потрібно відповідати. Тому для повністю автоматизованого сканування просто натискаємо Start Scan.
Відразу після цього починається сканування. Можна зайти у вкладку Automated Scanning і поміняти кількість паралельних дозволених потоків (максимум 10).
Оцінка результатів IronWASP
Всі результати за рівнем небезпеки позначаються як High (червоний), Medium (помаранчевий) і Low (синій).
Якщо серед результатів є уразливості рівня High, то це вимагає негайних дій.
- По-перше, потрібно переконатися, що це не результат помилкового спрацьовування. Незважаючи на те, що в IronWASP присутній досить інтелектуальний движок по фільтрації помилкових спрацьовувань, цих спрацьовувань буває достатньо. Особливо для SQL-ін'єкцій.
- По-друге, якщо підтверджено, що уразливість рівня High на сайті присутня, то сайт потрібно вважати скомпрометованим і проводити комплекс відповідних заходів (пошук бекдор, пошук несанкціонованих змін вихідного коду, пошук несанкціонованих змін в базах даних, зміна паролів і т. Д.) .
Складання звітів в IronWASP
Отримані дані можна зберегти в великий і красивий звіт. Для цього натисніть Generate Report. Там все досить очевидно - поставте або приберіть галочки з тих пунктів, які ви хочете включити в звіт. Звіт можна зберегти у форматах HTML і RTF.
Просунуте використання IronWASP
Описане вище сканування дозволяє виявити уразливості веб-сайтів. Таке сканування своїх веб-сайтів може провести будь-який веб-майстер, навіть без спеціальної підготовки. Крім описаної базової функціональності, IronWASP включає в себе інструменти для просунутих фахівців в сфері безпеки. Їх досить багато, тому обмежимося їх перерахуванням. Цілком можливо, всі або деякі з цих інструментів будуть розібрані в наступних інструкціях.
Вбудовані модулі:
- WiHawk - сканерт вразливостей WiFi роутерів
- XmlChor - інструмент автоматичної експлуатації XPATH ін'єкції
- IronSAP - сканер безпеки SAP
- SSL Security Checker - сканер для виявлення вразливостей SSL установок
- OWASP Skanda - Автоматичний інструмент експлуатації SSRF
- CSRF PoC Generator - Інструмент для автоматичної генерації експлойтів для вразливостей CSRF
- HAWAS - Інструмент для автоматичного виявлення і декодування закодованих рядків і хешів на веб-сайтах
Вбудовані інструменти:
- Заснований на браузері павук
- Аналізатор DOM XSS
- Кодування / декодування
- Пошук відмінностей в двох текстах
- візуалізація HTML
- сканер потоку
- Ізвлекатель повідомлень веб-сокета
- Клієнт веб-сокета
Інструменти по запису послідовностей:
- Запис входу, токена послідовності CSRF (Межсайтовой підробки зарпоса)
Інтерактивні інструменти тестування:
- Тест на захист від CSRF
- Тест зламаною аутентифікації
- Тест на приховані параметри
- Тест на підвищення привілеїв
Інструменти розробника
Вони дозволять вам створити власні помічники, скрипти, плагіни на кількох доступних мовах програмування. У тому числі і з графічним інтерфейсом.
висновок
IronWASP, мабуть, найпростіший інструмент для тестування безпеки веб-додатків. При цьому дуже потужний і ефективний.
Проте, видається, що без розуміння суті знайдених потенційних вразливостей, той, хто запустив цей інструмент, не зможуть:
а) перевірити, чи не є знайдена уразливість помилковою тривогою
б) самостійно ліквідувати пролом в безпеці
в) експлуатувати знайдені вразливості.
