Как проверить безопасность сайта: 21 простой сервис

Управление чужим ПК с помощью Skype

Очень простой способ доступа к чужому ПК, который особенно пригодится в тех случаях, когда вы хотите подгадить обидевшему вас человеку. Делается это так:

1. Выбираете обидчика в списке пользователей Skype. Кликаете левой кнопкой мыши по его имени — в появившемся окошке, напротив поля Skype, копируете логин пользователя.
2. Заходите на сайт mostwantedhf.info, вводите в поле «User» скопированный ник и кликаете по кнопке «Resolve». После обработки запроса сайт выдаст нужный вам IP.
3. Зайдите в программу Essential NetTools (скачать ее можно здесь), выберите в меню «NBScan», введите в строку «Конечный IP-адрес» найденный вами «айпи».
4. Нажмите старт. Если в окне «NBScan» ничего не отобразится, значит, нужный вам пользователь отсутствует в сети либо заблокировал доступ к нему. Если все в порядке, вы увидите его в списке. Кликните по записи правой кнопкой мыши и подтвердите команду «Открыть компьютер».

После этого в своей «Сети» вы увидите папки, сохраненные на чужом ПК, и сможете мстить свой жертве: удалять документы, важные скрипты и т.п.

Тестирование на проникновение – получение информации

Профессиональный исследователь безопасности, осуществляет атаку на проникновение из всех возможных источников, чтобы получить основные сведения об инфраструктуре целевой аудитории. Например, применяется DNS-запросы, чтобы определить, какие IP-адреса принадлежат к URL-адресу, и какие услуги предоставляет компания.

С помощью команды set настраивают загруженный модуль. Наглядный пример представляет модуль quick_tftp_pro_mode

Веб-сайты многих компаний предоставляют, например, отдельный IP-адрес, по которому доступны специальные сервисы доступа к данным для сотрудников вне офиса. Сам сайт может находиться у поставщика интернет-услуги, а услуга передачи данных может быть реализована непосредственно с собственных серверов компании.

Изучая устойчивость собственной ИТ-инфраструктуры, Вам не нужно заниматься такими вопросами. Достаточно проверить IP-адрес вашего маршрутизатора. Этот адрес указан в интерфейсе конфигурации роутера. Кроме того, вы можете проверить его с помощью портала SpeedTest (в левом нижнем углу) или интернетометра от Яндекса.

Как задетектить все

Для лучшего фингерпринтинга мы вынесли правила детекта в отдельный репозиторий, который постоянно наполняется новыми правилами.

Каждое правило содержит в себе:

• — тип детекта, формализованный под наиболее эффективный поиск в базе либо ;
• — уникальное имя для детектируемого ПО;
• — само регулярное выражение, по которому будем находить ПО.

Кстати, правила детекта открыты для контрибьюторов на Гитхабе, присоединяйтесь!

Плагин может стать полезным инструментом для первоначального исследования приложения. Он позволяет избавиться от рутины, автоматизировав выявление уязвимых компонентов системы.

А иногда может просто приятно удивить, если ты всего лишь бороздишь просторы интернета с включенным Burp-proxy.

Мы записали видео с реальным примером использования плагина

Наш плагин Software Vulnerability Scanner для Burp Suite можно скачать в официальном магазине приложений bAppStore.

Metasploit

Metasploit это один из лучших инструментов с открытым исходным кодом, который позволяет нам обнаруживать и использовать уязвимости безопасности в системах и сервисах, этот инструмент необходим для пентестинга. Самый популярный проект — Metasploit Framework, который по умолчанию устанавливается в таких дистрибутивах Linux, как Kali Linux. Благодаря мощности Metasploit мы сможем проводить тесты на проникновение для сервисов, приложений и другие атаки.

Это один из инструментов, который вы должны иметь в своем арсенале для проведения испытаний на откосах, он дополняется остальными инструментами, о которых мы говорили ранее. За Metasploit стоит большое сообщество, а инструменты, основанные на нем, были разработаны, чтобы упростить все задачи за счет их автоматизации.

Cамые распространенные уязвимости

Рисунок 6. Наиболее распространенные уязвимости из списка OWASP Top 10 (доля приложений)

Чаще всех других в 2019 году в веб-приложениях встречались уязвимости, связанные с некорректными параметрами безопасности (Security Misconfiguration). Так, в каждом пятом проанализированном приложении были выявлены уязвимости, позволяющие проводить атаку на сессию, в частности отсутствие флагов HttpOnly и Secure у конфиденциальных Cookie-параметров. С помощью данных недостатков злоумышленник может, например, провести атаку типа «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS), чтобы перехватить идентификатор сессии пользователя и от его имени выполнять различные действия в приложении.

В 45% веб-приложений были обнаружены недостатки аутентификации (Broken Authentication). Почти треть выявленных уязвимостей из этой категории — это некорректное ограничение количества неудачных попыток аутентификации. В результате эксплуатации этой уязвимости злоумышленник может подобрать учетные данные пользователя и таким образом получить доступ к веб-приложению. Так, например, для одного приложения потребовалось всего 100 попыток, чтобы успешно войти с правами администратора.

Большинство атак на аутентификацию связано с использованием исключительно паролей. Ранее считавшиеся хорошими требования к смене пароля и его сложности способствуют использованию ненадежных паролей пользователями. Согласно последним рекомендациям NIST, организациям следует применять многофакторную аутентификацию.

Рисунок 7. Уязвимости, связанные с недостатками аутентификации (Broken Authentication)

Недостатки контроля доступа (Broken Access Control) в 2019 году встречались в каждом третьем приложении. Обход ограничений доступа обычно приводит к несанкционированному разглашению, изменению или уничтожению данных. Так, например, в одном из проектов небезопасная авторизация позволяла изменять содержимое профиля любого пользователя. Специалисты Positive Technologies узнали логин администратора приложения, в его профиле изменили адрес электронной почты на собственный, а затем через стандартную процедуру восстановления пароля получили доступ к сайту с правами администратора.

Количество уязвимостей, связанных с аутентификацией и авторизацией, как правило, можно минимизировать, если при разработке веб-приложения придерживаться практик безопасного программирования SSDLC.

Помимо уязвимостей из списка Top 10−2017, сообщество OWASP выделяет ряд недостатков, наличие которых рекомендуется проверять 1

Треть веб-приложений оказались уязвимы для атаки типа Clickjacking (содержали уязвимость «Некорректное представление важной информации интерфейсом пользователя», CWE-451) и столько же для атаки «Подделка межсайтового запроса» (Cross-Site Request Forgery, CSRF). В ходе CSRF-атаки злоумышленник с помощью специально сформированных сценариев может выполнять действия от лица пользователя, авторизованного в уязвимом веб-приложении

Представим ситуацию: вы авторизованы на сайте, уязвимом для подделки межсайтового запроса (пусть это будет некий онлайн-банк). В это время вам приходит фишинговое письмо со ссылкой, и вы по ней переходите. А дальше от вашего имени на уязвимый сайт (в ваш онлайн-банк) отправляется специально сформированный хакером запрос, который выполняет нужные злоумышленнику действия (например, переводит деньги на его счет). Онлайн-банк не сможет отличить этот несанкционированный запрос от легитимных, если не используется защита от CSRF-атак. Защита от данного типа атак чаще всего основывается на использовании уникальных одноразовых ключей (CSRF-токенов), подтверждении подлинности (например, с помощью пароля) или доказательстве, что запрос выполняется реальным пользователем (например, с помощью CAPTCHA), на установке дополнительного флага SameSite для Cookie-параметров.

В ходе атаки типа Clickjacking пользователь, как правило, уже находится на сайте злоумышленника, на котором так и манит нажать на кнопку (например, обещают большие скидки или рецепт вечной молодости). А поверх этой кнопки хакер реализует прозрачный HTML-фрейм (iframe) уязвимого сайта, и когда пользователь кликает по кнопке, происходит действие на уязвимом сайте, например ставится лайк под чьей-то фотографией. Таким образом происходит накрутка счетчика лайков, голосов и т. п. Одним из способов защиты от этого типа атак является использование HTTP-заголовка X-Frame-Options.

Рисунок 8. Распространенные уязвимости, не вошедшие в OWASP Top 10 (доля приложений)

Дополнительная защита сайта от взлома

Кроме того, чтобы обезопасить сам запрос и переменные, нужно сделать всё, чтобы хакер не смог найти уязвимости. Для этого устраните все возможные дыры, из-за которых может появиться утечка информации и вероятность несанкционированного доступа к правам администратора.

1. Запретите прямой доступ к служебным файлам

Все файлы на сайте можно открыть или скачать, если знать их адрес. Например, можно попытаться скачать файл header.php, чтобы найти там уязвимости (если скачивание будет удачным).

Поэтому лучше все подключаемые файлы переместить в отдельную директорию и запретить к ней прямой доступ. Например, можно создать папку includes и поместить туда:

• отдельные блоки сайта;
• библиотеки пользовательских функций;
• файл подключения к базе данных;
• обработчики форм и так далее.

Для этого создайте в этой папке файл .htaccess и добавьте туда такую строчку:

Прямой доступ заблокируется, но подключать эти файлы через PHP все еще будет можно.

Порой нам всем бывает нужна помощь коллег, поэтому мы выкладываем фрагменты своего кода на форумы или Stackoverflow. Делать это рекомендуется только в очень крайних случаях и лишь тогда, когда вы убедитесь, что никто не сможет вычислить ваш сайт.

Ничто не должно намекать на то, какой тематики сайт, какой у него адрес, на каком он хостинге и так далее. Чем больше информации вы добровольно расскажете, тем выше риск быть взломанным.

3. Проверяйте копипасту

Всегда проверяйте код, который вы копируете, — в нем может быть какой-то незаметный эксплойт, который навредит вашему сайту или позволит автору кода получить к нему доступ. Старайтесь хотя бы читать то, что вы вставляете. Даже если там всего одна строчка, ее может быть достаточно, чтобы создать брешь в вашей защите.

В идеале лучше вручную переписывать код — так вы точно заметите все подозрительные команды.

4. Отключите вывод ошибок

Вывод ошибок — очень полезная функция на этапе разработки. Но если сайт уже выложен в сеть, то оповещение о багах лучше отключить, потому что злоумышленник может увидеть, какие у сайта проблемы, и попытаться использовать эти уязвимости в своих целях.

Отключить вывод можно в файле .htaccess, добавив туда следующие строки:

Кроме того, уберите вывод ошибок, который вы прописали в самом коде.

5. Ограничьте права пользователя базы данных

Обычно для подключения к базе данных создают учетную запись со всеми правами, чтобы можно было использовать все преимущества SQL, но лучше их ограничить. Для этого зайдите в phpmyadmin, добавьте нового пользователя и выдайте ему только часть прав:

Пока ни одна галочка не отмечена — поставьте ее на пункт «Данные». Так можно будет оперировать существующими данными, но нельзя будет создать новую таблицу или удалить старую. Так вы защититесь в том числе и от атаки с помощью команды DROP, которая может удалить все статьи или комментарии с сайта.

Если же менеджеру вашего сайта все же регулярно нужны привилегии администрирования и изменения структуры, создайте отдельного пользователя, которого будете использовать в админке. Но риск того, что доступ к ней кто-то получит, все равно существует. Поэтому стоит ограничить максимальное количество подключений и запросов.

Также лучше поставить пароль на root, чтобы взломщик не смог подключиться через него.

6. Установите последнюю версию языка

Старые версии языков (любых) часто не только менее функциональны, но и обладают букетом уязвимостей. Критические дыры стали известны хакерам много лет назад, поэтому они используют их, чтобы взломать сайт.

Да, в обновлении тоже могут быть баги, но не такие опасные. Тем более о них никто не будет знать, если после релиза прошло немного времени.

7. Используйте сложный пароль

Банально, но простой пароль можно подобрать за несколько секунд. Особенно если он содержит персональные данные:

• дату рождения;
• кличку питомца;
• годовщину свадьбы;
• девичью фамилию матери и так далее.

Усугубляет положение то, что эту информацию мы часто выкладываем в свободный доступ.

Nikto

Программа проверка сайта на уязвимости, которая также имеется в дистрибутиве Kali Linux. Обладает богатым функционалом при всей своей простоте:

• сканирование по протоколам с HTTP и HTTPS;
• обход многих встроенных инструментов обнаружения;
• множественное сканирование портов, даже в нестандартном диапазоне;
• поддержка использования прокси-серверов;
• имеется возможность реализации и подключения плагинов.

Для запуска nikto нужно, чтобы в системе был установлен perl. Простейший анализ выполняется так:

perl nikto.pl -h 192.168.0.1.

Программе можно «скормить» текстовый файл, в котором перечислены адреса веб-серверов:

perl nikto.pl -h file.txt

Данная утилита поможет не только специалистам по безопасности для проведения пентестов, но и администраторам сетей и ресурсов для поддержания работоспособности сайтов.

Nmap

Самый простой сканер уязвимостей сайта, который может показать такие подробности, как операционная система, используемые порты и сервисы. Типичный пример применения:

nmap -sS 127.0.0.1, где вместо локального IP нужно подставить адрес реального тестируемого сайта.

Вывод сообщит о том, какие сервисы запущены на нем, и какие порты в этот момент открыты. На основе этой информации можно попробовать использовать уже выявленные уязвимости.

Вот несколько ключей nmap для более пристрастного сканирования:

• -A. Агрессивное сканирование, которое вывалит очень много информации, но может занять значительное время.
• -O. Пытается определить операционную систему, задействованную на сервере.
• -D. Подменит IP адреса, с которых производится проверка, чтобы при просмотре логов сервера невозможно было определить, откуда произошла атака.
• -p. Диапазон портов. Проверка сразу нескольких служб на наличие открытых.
• -S. Позволит указать нужный IP адрес.

Зачем нужен плагин

Один из вариантов понять, что система потенциально уязвима, — посмотреть версию софта, на котором крутится эта система: веб-сервер, язык, фреймворк. В веб-приложениях подобные фингерпринты лежат прямо в заголовках или теле ответа сервера.

Все предельно просто — X-Софт: v.Версия. Чтобы автоматизировать сбор таких данных, в BApp Store уже есть плагин Software Version Reporter. Он в пассивном режиме смотрит ответы от сервера и парсит отпечатки приложений по заранее полученным регуляркам.

Дальше, зная версию софта, можно попробовать поискать известные уязвимости и эксплоиты под нее.

Снифферы для перехвата трафика на Android

Ни одному пентестеру не обойтись без хорошего сниффера. Это такой же обыденный инструмент, как нож на столе повара. Поэтому следующий раздел статьи посвящен приложениям для перехвата и анализа трафика.

Intercepter-NG

Intercepter-NG — это продвинутый сниффер, ориентированный на выполнение MITM-атак. Захватывает трафик и анализирует его на лету, автоматически определяя в нем данные авторизации. Умеет сохранять перехваченный трафик в формате .pcap и анализировать его позже.

Среди автоматически определяемых форматов данных есть пароли и хеши для следующих протоколов: AIM, BNC, CVS, DC++, FTP, HTTP, ICQ, IMAP, IRC, KRB5, LDAP, MRA, MYSQL, NTLM, ORACLE, POP3, RADIUS, SMTP, SOCKS, Telnet, VNC.

Сканирование и ARP spoofing

Intercepter-NG собирает из перехваченных пакетов файлы, передаваемые по FTP, IMAP, POP3, SMB, SMTP и HTTP.Как cSploit и аналоги, Intercepter-NG использует ARP-спуфинг для выполнения MITM. Он поддерживает SSLstrip, что позволяет выполнять MITM-атаки даже с HTTPS-трафиком, подменяя на лету HTTPS-запросы атакуемых хостов их HTTP-вариантами через встроенный DNS-прокси.

Вдобавок он умеет определять ARP-спуфинг в отношении себя (полезно при подключении к публичным хотспотам) и защищать от него. При нажатии иконки в виде зонтика проверяется ARP-кеш.

• Сайт
• Протестированная версия: 2.1 (консольная — 0.8)
• Размер: 5,2 Мбайт
• Версия Android: 2.3 и выше
• Требуется рут: ДА!
• Дополнительные требования: установить BusyBox в /system/bin

Packet Capture

Более простой и «легальный» анализатор TCP/UDP-пакетов с возможностью перехвата HTTPS-сессий посредством MITM. Не требует прав root, поскольку использует встроенную в Android функцию проксирования трафика через VPN и подмену SSL-сертификата.

В Android 6.0.1 и более свежих версиях требуется вручную добавить CA-сертификат через настройки приложения.

Захват трафика

Packet Capture работает локально. Он не выполняет ARP-спуфинг, угон сессий и прочие атаки на внешние хосты. Приложение позиционируется как прокси для отладки и скачивается из официального маркета. Умеет декодировать пакеты как Text/Hex/Urlencoded, но пока не поддерживает сжатые (gzip) HTTP-запросы.

С помощью Packet Capture удобно контролировать сетевую активность установленных приложений. Он показывает не просто объем передаваемого трафика, а что конкретно и куда отправляет каждая программа или встроенный компонент Android, какие пакеты и с каких серверов получает в ответ. Отличная утилита для поиска троянских закладок и назойливой рекламы.

• Сайт
• Протестированная версия: 1.4.7
• Размер: 4,5 Мбайт
• Версия Android: 2.3 и выше
• Требуется root: нет

Взлом компьютера через Dark Comet

Dark Comet, или «Крыса, — одно из популярных средств удаленного управления компьютером. Хотя официальная разработка «Черной кометы» прекратилась еще в 2012 году, в хакерской среде можно до сих пор встретить усовершенствованные варианты проги. Работать с ней нужно следующим образом:

1. и установите Dark Comet на компьютер, запустите ее. По окончании запуска откроется окно, в котором нужно выбрать команду «Dark Comet RAT» — «Server Module» — «Full Editor».
2. В новом окошке выберите «Stub Finalization», укажите тип расширения (.exe, .pif или .bat), затем подберите одну из иконок. По желанию в меню «Network Settings» в поле «Title» вы можете вбить какой-то текст, например, «Еrror», «Fool», «Ты взломан» и т.п.
3. Выполнив настройки, кликните по кнопке «Bulid The Stub»и сохраните файл.

Как только программа «поймает» какого-то юзера, вы сможете начать управлять им: украдете пароли, просмотрите документы, удалите важные файлы и т.п. Те, кто любит позлорадствовать, могут отключить рабочий стол своей жертвы, сыграть ему на виртуальном пианино, отправить сообщение и т.п.

Среди других софтов для удаленного доступа — программы RMS, Radmin, LogMeIn и Hidden Administrator.

Malwarebytes Anti-Malware

Malwarebytes Anti-Malware — это антихакерское программное обеспечение для компьютеров, работающих под управлением операционной системы Microsoft Windows и Apple OS X. Malwarebytes Anti-Malware может помочь пользователям находить и удалять вредоносные программы.

Кроме того, Malwarebytes Anti-Malware может восстанавливать поврежденные файлы и удалять руткиты. Программное обеспечение Microsoft для защиты от взлома — Malwarebytes Anti-Malware также может делать следующие вещи.

• Malwarebytes Anti-Malware может предотвращать доступ к известным вредоносным веб-страницам и с них.
• Malwarebytes Anti-Malware может автоматически обнаруживать вредоносное ПО в режиме реального времени.
• Скорость сканирования Malwarebytes Anti-Malware высока, поскольку он сканирует только активные угрозы.
• Malwarebytes Anti-Malware также позволяет настроить автоматическое сканирование.
• Он предотвращает завершение работы Malwarebytes вредоносным ПО или изменение его процесса.

Malwarebytes Anti-Malware доступен в бесплатных и платных версиях. Бесплатная версия Malwarebytes Anti-Malware требует от вас сканирования и удаления вредоносных программ вручную. Платные версии могут автоматически удалять вредоносное ПО.

Следовательно, вы можете получить программное обеспечение для защиты от взлома — Malwarebytes Anti-Malware с официального сайта.

Malwarebytes VS Avast: сравнение по пяти аспектам

Malwarebytes против Avast, что лучше для вас? В этом посте показаны некоторые различия между Avast и Malwarebytes.

Читать больше

OpenVAS

Уже введенный в поиск уязвимостей в приложениях и оборудовании, одним из наиболее полных приложений, которые можно найти в сети, является OpenVAS . OpenVAS — это сканер уязвимостей, в который мы можем ввести IP-адрес и заказать анализ указанного оборудования, сбор информации о запущенных службах, открытых портах, сбоях конфигурации, любых известных уязвимостях в программном обеспечении оборудования или сервера и т. Д.

Эта программа может быть запущена как по сети, так и с внешнего сервера, имитируя реальную атаку. Когда он заканчивается, он генерирует полный отчет со всеми возможными недостатками, которые могут представлять угрозу нашей безопасности. Кроме того, мы можем настроить его в режиме непрерывного мониторинга, установив предупреждения, которые будут появляться при обнаружении малейшего сбоя.

OpenVAS — это полностью бесплатный инструмент, который позволит нам выполнять большое количество тестов на уязвимость веб-серверов. Более того, у него есть отличное сообщество, которое поддерживает его и включает новые функции, чтобы максимально использовать его потенциал.

Оценка результатов IronWASP

Все результаты по уровню опасности помечаются как High (красный), Medium (оранжевый) и Low (синий).

Если среди результатов есть уязвимости уровня High, то это требует НЕМЕДЛЕННЫХ действий.

• Во-первых, нужно убедиться, что это не результат ложного срабатывания. Несмотря на то, что в IronWASP присутствует довольно интеллектуальный движок по фильтрации ложных срабатываний, этих срабатываний бывает предостаточно. Особенно для SQL-инъекций.
• Во-вторых, если подтверждено, что уязвимость уровня High на сайте присутствует, то сайт нужно считать скомпрометированным и проводить комплекс соответствующих мероприятий (поиск бэкдоров, поиск несанкционированных изменений исходного кода, поиск несанкционированных изменений в базах данных, смена паролей и т. д.).

Интересен ли хакерам ваш сайт

Некоторые думают, что их сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть.

Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.

Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.

Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.

Если коротко, то хакерам просто нужен узел в сети и ресурсы этого узла.

Виды уязвимостей сайта

Специалисты по информационной безопасности ежедневно сталкиваются с однотипными проблемами в коде и внутренней конфигурации тысяч веб-ресурсов. Все уязвимости делятся на несколько основных видов.

SQL-инъекции

Один из самых частых и действенных методов атаки на динамические веб-сайты с базами данных. Злоумышленник подставляет специально сформированные строки SQL-кода в запрос к серверу, получая таким способом контроль над базой данных сайта. Единственное, что будет ограничивать хакера – права пользователя, от которого выполняется запрос к БД.

Лучший способ защиты от SQL-инъекций – предварительный анализ и парсинг элементов, поступающих из браузера в скрипт.

XSS

Безобиден для сайта, сервера и его администратора. Но вряд ли понравится вашим клиентам. Межсайтовый скриптинг позволяет воровать все личные данные пользователя с помощью заготовленных JavaScript функций. Хакер передаёт зараженный код на сайт с помощью формы, например, сообщения на форуме. Сообщение выводится на экран всем пользователям, где запускается вредоносный скрипт.

Способ защиты схож с SQL-инъекциями – преобразование управляющих HTML и JS последовательностей. Браузер должен читать скрипт как текст и не выполнять его.

Незащищенная работа с персональной информацией

Известная ошибка новичка-программиста – хранить пароли пользователей в базе данных в открытом виде. Но стоит представить, что хакер получил к себе дамп таблицы, и становится не по себе. Все пароли принято не только хэшировать, но ещё и «солить» с помощью некоторой операции с дополнительным ключом, например md5($pass.$salt) в PHP.

Также рекомендуется установить на сервер ключи для HTTPS-шифрования трафика – попросту, купить SSL-сертификат. Это защитит трафик клиентов и повысит надежность сохранности информации в момент обмена клиент-сервер.

Проблемы распределения уровней доступа

Иногда дело доходит до того, что пароли к базе данных хранятся в .txt файле под названием config в открытом виде на сервере. Главное правило работы с уровнями доступа – все, что пользователю видеть не обязательно, должно быть скрыто. Закройте все служебные папки сайта файлами .htaccess, запретите просмотр директорий сервера в браузере при отсутствии индексного файла.

Внутри скриптов постоянно проверяйте, разрешено ли то или иное действие для данного пользователя. Помните, что злоумышленник может подменить все параметры запроса, поэтому проверяйте поступающие данные на достоверность

Помните, что каждый пользователь должен отвечать только за свою рабочую область и не иметь доступа к другим модулям, которых не требует его функционал.

Плохая конфигурация модулей

После установки программного обеспечения на сервер многие забывают о настройке отдельных модулей для предотвращения неприятностей. Примером является разрешение на root доступ по SSH или отображение ошибок исполнения скриптов на PHP. Выдавайте на руки хакерам как можно меньше информации, скрывайте и блокируйте ненужные функции. Так вы убережете себя от лишних проблем.

Настройте фаервол сервера так, чтобы извне были доступны только нужные для работы порты.

Брутфорс-атака

Злоумышленник, не найдя уязвимых мест, может начать перебор паролей «в лоб». Запустив ботнет, рано или поздно он сможет подобрать ключи к SSH, FTP и административной панели. Поэтому всегда ставьте ограничение на допустимое количество попыток входа с одного IP. Для SSH это может быть, к примеру, утилита fail2ban.

Регулярно меняйте пароли и не заходите на сайт с зараженных компьютеров.

Сканеры веб-ресурсов для Android

Начнем обзор программ для взлома смартфона с самого главного, а именно со сканеров веб-приложений. Здесь у нас три приложения, которые позволят вам найти открытые админки, сбрутить пароль, протестировать сайт на XSS-уязвимости, возможность SQL-инъекций, составить листинги каталогов и многое другое.

Kayra the Pentester Lite

Мобильный сканер уязвимостей веб-приложений Kayra the Pentester Lite ищет типичные ошибки в конфигурации указанного веб-сервера и пытается получить листинг каталогов (обычно — успешно). Среди дополнительных инструментов есть генератор хешей и дешифровщик AES.

Приложение обладает простыми и понятными настройками. Поддерживает HTTPS и проверяет корректность TLS. Умеет искать XSS, брутить CGI и выполнять атаки по словарю. Может работать в фоне и в многопоточном режиме. Содержит базу данных Google Hacks и автоматически определяет известные уязвимости.

Отчет Kayra и экран About

По каждому пункту, отмеченному в настройках сканирования, создается подробный отчет. На скриншоте видно лишь его малую часть. Бесплатная версия довольно функциональна, но иногда раздражает рекламой. В платной версии нет рекламы и ограничений, ее стоимость на момент написания статьи составляет 159 рублей.

• Сайт
• Протестированная версия: 1.4.0
• Размер: 4,7 Мбайт
• Версия Android: 4.1 и выше
• Требуется root: нет

DroidSQLi

Следующая хакерская программа для Android — это DroidSQLi. Приложение DroidSQLi служит для проверки веб-сайтов на уязвимость к SQL-инъекциям четырех разновидностей:

• Normal SQL injection — классический вариант с передачей параметра UNION ALL SELECT;
• Error based SQL injection — использование в запросах заведомо неверного синтаксиса для получения сообщения об ошибке, раскрывающего дополнительные параметры БД;
• Blind SQL injection — серия запросов с анализом ответов true/false от СУБД, позволяющая восстановить структуру базы данных;

Time based SQL injection — формирование дополнительных запросов, вызывающих приостановку СУБД на определенное время, что делает возможным посимвольное извлечение данных.

Демонстрация error based SQL-инъекции

Утилита DroidSQLi автоматически подбирает метод инжекта, а также использует техники обхода фильтрации запросов.

Для начала тестирования сайта необходимо вручную найти точку входа. Обычно это адрес веб-страницы, содержащий запрос вида ?id=X или ?p=X, где X — целое положительное число. В нашем примере пейлоад для параметра id выглядит так:

id=(SELECT 4777 FROM(SELECT COUNT(*),CONCAT(0x71626b6a71,(SELECT (ELT(4777=4777,1))),0x7170767871,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)

В Сети очень много сайтов, уязвимых к SQL-инъекциям. Думаю, вы легко найдете несколько таких, просто посмотрев историю своего браузера.

• Сайт
• Протестированная версия: 1.1
• Размер: 705 Кбайт
• Версия Android: 4.2 и выше
• Требуется root: нет

Droidbug Admin Panel Finder FREE

Следующий инструмент для взлома со смартфонов — это утилита Droidbug Admin Panel Finder FREE. Приложение ищет админские панели по дефолтным адресам разных CMS. Результат ее работы не всегда соответствует реальному положению вещей, поскольку на популярных веб-серверах стоят IDS и WAF. Они блокируют перебор URL или перенаправляют его в honeypot (ловушку), который отвечает HTTP 200 OK на все запросы, а сам собирает инфу об атакующем.

Однако на менее популярных сайтах с безопасностью все очень тоскливо, и валидная админская панелька находится за считанные секунды. В платной версии, стоимостью 139 рублей, убрана реклама и разблокирована возможность перебора по смешанному шаблону для сайтов с поддержкой PHP/ASP/CGI/CFM/JS.

Поиск админки на сайте

• Сайт
• Протестированная версия: 1.4
• Размер: 6,3 Мбайт
• Версия Android: 2.1 и выше
• Требуется root: нет

Тестирование на проникновение – поиск уязвимостей

После распознавания адресов и услуг, доступных в целевой инфраструктуре, необходимо получить более подробную информацию о нём. В этом вам помогут сканеры подверженности воздействию вредоносного кода (так называемые, уязвимости).

Это инструменты, которые ищут уязвимости программного обеспечения. Целью такой проверки является определение уязвимости, которая будет иметь влияние на целевую систему. Пакет Metasploit предоставляет множество сканеров уязвимостей для атак.

Полный список можно получить командой

Список очень обширный, но можно ограничить его с помощью параметров фильтрации. Ниже мы демонстрируем процесс сканирования на примере утилиты TCP Syn.

Сначала нужно активировать её с помощью команды use:

Консоль подтвердит вызов модуля:

Затем вызвать список доступных параметров:

С помощью команды set в сочетании с параметрами RHOSTS и RPORT вы установите цель для атаки, например:

Процесс сканирования инициирует команда run:

Сбор информации о целевой системе и её проверка – это основные этапы теста. От результатов этих действий и полученных выводов зависит успех атаки с использованием уязвимости или другого метода.