• Начинающий хакер, спасибо что зашёл к нам! Для полного удобства рекомендуем Вам сразу же зарегистрироваться. Помните, необходимо придумать сложный пароль к своему логину, в котором будут присутствовать цифры, а так же символы. После регистрации вы сможете пользоваться чатом. Так же не забудьте активировать аккаунт через письмо, высланное вам на почту ! Администрация заботится о каждом из Вас...
  • Для просмотра разделов из категории Private Informations & Programms необходимо купить

Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции

Gidroponika

Ваши вопросы в Telegram: @milliontri22
Топовый

Gidroponika

Ваши вопросы в Telegram: @milliontri22
Топовый
Регистрация
28 Янв 2017
Сообщения
730
Реакции
834
Баллы
5
Skipfish
Skipfish - активный инструмент рекогносцировки безопасности веб-приложений. Он подготавливает интерактивную карту сайта для целевого сайта, проводя рекурсивные поисковые сканеры и зондирование по принципу подбора по словарю.

Полученная карта затем аннотируется с результатом ряда активных (но, надеюсь, не разрушительных) проверок безопасности. Окончательный отчет, созданный инструментом, призван служить основой для профессиональных оценок безопасности веб-приложений.

Основное свойство
• 500+ против интернет-целей, 2000+ запросов в секунду в сетях LAN/MAN и 7000+ запросов против локальных экземпляров.

• Автоматическое построение списка слов на основе анализа содержимого сайта.

• Эвристическое распознавание нечетких путей и схем обработки параметров, основанных на запросах.

• Подписи контента стиля Snort, которые будут отображать ошибки сервера, утечки информации или потенциально опасные веб-приложений.

• Сгруппированные проверки безопасности предназначены для обработки сложных сценариев: Хранимый XSS (путь, параметры, заголовки), скрытый SQL или XML-инъекции или вставка скрытой оболочки.

Чтобы запустить сканер безопасности Web приложения
Шаг 1: получить все параметры типа skipfish -h

Код:
 root@kali:~# skipfish -h


Шаг 2: Сканировать цель и записать вывод в директорию.
Код:
root@kali:~# skipfish -d -o 202 http://192.168.169.130/




Он продолжит сканироваться по каждому запросу, внешним/внутренним ссылкам и статистикой.



Когда сканирование будет завершено, будет создана профессиональная оценка безопасности веб-приложений.


Вывод состоит из различных разделов, таких как тип документа и обзор проблемы.


Для сканирования Wildcard доменов

Код:
root@kali:~# skipfish -D .192.168.169.130 -o output-dir1 http://192.168.169.130/

Вам нужно настроить свои HTTP-запросы при сканировании больших сайтов.

-H вставить любые дополнительные, нестандартные хэдеры.

-F определить настраиваемое сопоставление между хостом и IP-адресом.

-d ограничивает глубину сканирования до указанного количества субдиректорий.

-c ограничивает количество дочерних записей на директорию.

-x ограничивает общее количество потомков (классов, производных от других классов) на каждую ветвь сканирующего дерева.

-r ограничивает общее количество запросов на отправку при сканировании.

Skipfish также предоставляет сводные обзоры типов документов и типов проблем, а также интерактивную карту сайта с узлами, определенными с помощью брутфорс, и указанными особым способом.

Необходимо указать -e, чтобы избежать двоичных ответов для отчета.

автор: Google Inc, Michal Zalewski, Niels Heinen, Sebastian Roschke

лицензия: Apache-2.0
 
Сверху Снизу