Como procurar vulnerabilidades de aplicativos da Web: comparando oito scanners populares

Atualmente, os scanners de aplicativos da Web são uma categoria bastante popular de software. Existem scanners pagos, outros gratuitos. Cada um deles tem seu próprio conjunto de parâmetros e vulnerabilidades que são possíveis de detectar. Alguns são limitados apenas aos publicados no Top Ten da OWASP (Projeto de Segurança de Aplicativos da Web Abertos), outros vão muito além em seus testes de caixa preta.



Neste post, coletamos oito scanners populares, os examinamos com mais detalhes e os testamos. Pontos independentes em duas plataformas (.NET e php) foram selecionados como alvos de treinamento: premium.pgabank.com e php.testsparker.com .

OWASP ZAP

Como o nome sugere, a organização OWASP mencionada na introdução é responsável pelo lançamento do OWASP ZAP . Esta é uma ferramenta gratuita para testes de penetração e para encontrar vulnerabilidades em aplicativos da web.

Principais recursos do OWASP ZAP:

• Proxy man-in-the-middle
  
• Aranhas tradicionais e AJAX
  
• Scanner automatizado
  
• Scanner passivo
  
• Navegação forçada
  
• Fuzzer
  

A interface do programa foi traduzida para o russo, o que será conveniente para alguns usuários. O espaço de trabalho OWASP ZAP é composto por várias janelas. Na parte inferior, há guias com as tarefas atuais e o processo de implementação, à esquerda - uma árvore de sites, além disso, você pode exibir na parte direita da janela de solicitação e resposta.



Usando o mercado, você pode expandir um pouco a funcionalidade do scanner.



Cada componente do programa possui muitos parâmetros personalizáveis. Por exemplo, podemos configurar os vetores recebidos para varredura ativa, gerar certificados SSL dinâmicos, adicionar identificadores de sessão HTTP, etc.



Vamos passar para os testes. Ao digitalizar um site php.testsparker.com , foi encontrada uma injeção cega de SQL. É aqui que as vulnerabilidades críticas terminam.


No premium.bgabank.com , vemos resultados mais interessantes: os recursos de inclusão do servidor (SSI) e de script entre sites refletidos foram encontrados.


Todos os resultados da verificação podem ser exportados para um relatório (* .pdf, * .html, * .xml, * .json são suportados). O relatório descreve detalhadamente vulnerabilidades, vetores encontrados, bem como métodos para "fechar" vulnerabilidades.



Em geral, gostamos de trabalhar com o OWASP ZAP. Existem todas as ferramentas necessárias para o aplicativo Web Pentest, uma interface simples e intuitiva, verificação rápida com um clique. E, ao mesmo tempo, configurações flexíveis e profundas para uma verificação mais detalhada, que pode servir como ponto de partida para mais pesquisas manuais de vulnerabilidades. A seguir, falaremos também sobre o scanner Burp Suite Pro, que tem muito em comum com o OWASP ZAP. Pelo número e qualidade das vulnerabilidades encontradas, o primeiro scanner que examinamos mostrou um resultado muito bom. Recomendado para uso no trabalho.

W9scan

O W9scan é um scanner de vulnerabilidades de console gratuito para o site com mais de 1200 plug-ins integrados que podem detectar impressões digitais de páginas da Web, portas, analisar a estrutura do site, encontrar várias vulnerabilidades populares, procurar Injeção de SQL, XSS, etc.


O W9scan gera automaticamente relatórios dos resultados da verificação no formato HTML. Para iniciar uma verificação, você só precisa especificar o URL do site e os plug-ins que serão usados. Você pode selecionar tudo de uma vez adicionando "todos".



Ao verificar o php.testsparker.com, o W9scan encontrou svn e possíveis caminhos de download de carga útil. Do menos crítico, determinei as versões dos serviços utilizados, possíveis vetores para a realização de ataques XXE, XXS, encontrei os arquivos de configuração do servidor e procurei por subdomínios.

Nada crítico foi encontrado no premium.bgabank.com . Mas o scanner identificou possíveis vetores de ataque, versões de serviço definidas, diretórios e subdomínios.

Com base nos resultados da verificação, o W9scan gera automaticamente um arquivo de relatório HTML.



O scanner W9scan é adequado para inicialização rápida em um único comando e recomendamos usá-lo como uma ferramenta auxiliar para determinar versões de serviço, bem como possíveis vetores de ataque.

Wapiti

Outro bom scanner de console. Assim como o W9scan, ele está pronto para iniciar em um comando, enquanto possui mais configurações de verificação diferentes.



O Wapiti procura pelas seguintes vulnerabilidades:

• Divulgação de arquivos (local / remoto inclui / requer, abre, lê arquivo)
  
• Injeção de banco de dados (injeções de PHP / JSP / ASP SQL e injeções de XPath)
  
• Injeção de XSS (Cross Site Scripting) (refletida e permanente)
  
• Detecção de execução de comando (eval (), system (), passtru () ...)
  
• Injeção de CRLF (divisão da resposta HTTP, fixação da sessão ...)
  
• Injeção XXE (XML External Entity)
  
• SSRF (falsificação de solicitação do lado do servidor)
  
• Uso de arquivos potencialmente perigosos conhecidos
  
• Configurações fracas de .htaccess que podem ser ignoradas
  
• Presença de arquivos de backup que fornecem informações confidenciais
  
• Shellshock
  

Além do acima exposto, há suporte para proxies (HTTP, HTTPs e SOCKS5), vários métodos de autenticação (Básico, Digest, Kerberos, NTLM), suporte para certificados SSL, a capacidade de adicionar vários cabeçalhos HTTP ou configurações de agente do usuário.

Ao verificar o site php.testsparker.com , foram encontradas as vulnerabilidades Execução de injeção cega de SQL, Cross Site Scripting, Execução de comandos. No premium.bgabank.com, o Wapiti, em comparação com outros scanners, não mostra resultados tão impressionantes: apenas o Cross Site Scripting foi detectado.



Com base nos resultados do trabalho do scanner, também é gerado um relatório HTML que contém as categorias e o número de vulnerabilidades encontradas, suas descrições, solicitações, comandos para curl e dicas sobre como fechar as brechas de segurança encontradas.

Como esperado, o Wapiti não atinge o nível do OWASP ZAP. No entanto, funcionou melhor que o W9scan , embora não tenha pesquisado diretórios, subdomínios e determinado a versão dos serviços.

Arachni

Um poderoso processador gratuito para testar a segurança de aplicativos da web e a pesquisa de vulnerabilidades. Possui uma interface gráfica e enorme funcionalidade, que podem ser encontradas em mais detalhes no site oficial .

Teste ativo:

• Injeção SQL - Detecção baseada em erro
  
• Injeção cega de SQL usando análise diferencial
  
• Injeção cega de SQL usando ataques de tempo
  
• Injeção NoSQL - detecção de vulnerabilidades baseada em erro
  
• Injeção cega de NoSQL usando análise diferencial
  

Teste passivo:

• Métodos HTTP permitidos
  
• Arquivos de backup
  
• Diretórios de backup
  
• Interfaces de administração comuns
  
• Diretórios comuns
  
• Arquivos comuns
  

Impressionante, não é? Mas isso não é tudo. Um monte de plug-ins também estão envolvidos na Web, por exemplo, Proxy Passivo, invasor de Dicionário para Autenticação HTTP, Coletor de Biscoitos, Detector WAF etc.

O scanner possui uma interface web agradável e concisa:



E foi isso que Arachni encontrou em nossos locais de teste. Php.testsparker.com :

• Script entre sites (XSS) no contexto de script
  
• Injeção cega de SQL (análise diferencial)
  
• Injeção de código
  
• Injeção de código (ataque por tempo)
  
• Injeção de comando do sistema operacional (ataque por tempo)
  
• Injeção de comando do sistema operacional
  

No premium.bgabank.com , apenas a possibilidade de falsificação de solicitação entre sites (CSRF) foi descoberta a partir da crítica.


Separadamente, notamos que relatórios legais Arachni nos fornece. Muitos formatos são suportados - HTML, XML, texto, JSON, Marshal, YAML, AFR.



Em geral, Arachni deixa apenas impressões positivas após o trabalho. Nossa opinião: este é um "must have" no arsenal de qualquer especialista que se preze .

Paros

Outro scanner de vulnerabilidades da Web da GUI. Por padrão, ele está incluído na distribuição do Kali Linux e é instalado localmente. Ele possui um proxy interno por meio do qual os sites para análise são adicionados, um web spider interno que pode analisar o site e criar um mapa de consulta.

Para verificar a conta pessoal de um usuário, é necessário fazer login no navegador com o redirecionamento de tráfego ativado por meio do proxy Paros. O scanner usará cookies autorizados durante o processo de digitalização. O relatório de atividades pode ser exportado para HTML. Ele é salvo no arquivo root / paros / session / LatestScannedReport.htm e é substituído posteriormente. Se você deseja salvar o resultado da verificação anterior, antes de iniciar a próxima verificação, é necessário criar uma cópia do arquivo existente.

Principais recursos (de olho no OWASP TOP 10 2017):

• A1: Injeção - SQLinjection, SQLinjection Fingerprint (locais onde o SQLinj poderia estar potencialmente)
  
• A6: Configuração incorreta de segurança - Navegação no diretório, arquivo padrão ISS, divulgação do arquivo de origem Tomcat, arquivos padrão do IBM WebSphere e alguns outros arquivos padrão ou obsoletos (arquivo obsoleto) que contêm código-fonte e muito mais.
  
• A7: XSS
  

Recursos adicionais:

• Procure o preenchimento automático ativado para formulários de senha. Além disso, se o campo de entrada tiver um tipo de atributo = "senha", um falso positivo é obtido.
  
• Injeção de CRLF
  
• Cache seguro do navegador de páginas (cache de páginas em um navegador com informações importantes)
  
• Capacidade de digitalizar uma área protegida de um usuário (conta pessoal)
  
• Capacidade de verificar aplicativos da Web em uma rede local
  

No relatório final para cada tipo de vulnerabilidade, há informações mais detalhadas e algumas recomendações sobre como corrigi-lo.



Em nossos testes, Paros mostrou resultados bastante fracos. Em php.testsparker.com foram encontrados:

H: injeção de SQL
M: XSS
M: arquivos de origem obsoletos
M: Uso do preenchimento automático em formulários com informações importantes (senhas etc.).
L: Divulgação de IP interno
No premium.bgabank.com e muito menos:
M: Navegação no diretório
M: Uso do preenchimento automático em formulários com informações importantes (senhas etc.).

Como resultado, embora o scanner Paros seja simples e bastante conveniente, os resultados ruins da digitalização o abandonam .

Tenable.io

Scanner de nuvem multifuncional pago que pode detectar um grande número de vulnerabilidades da web e cobre quase completamente o OWASP TOP 10 2017.

O serviço possui uma web spider incorporada. Se você especificar dados de autorização (solicitação de autorização, login e senha, cookies autorizados) nas configurações de digitalização, o scanner também verificará sua conta pessoal (zona do usuário autorizado).

Além de verificar aplicativos da Web, o Tenable.io pode verificar a rede - tanto em busca de vulnerabilidades conhecidas quanto em busca de hosts. É possível conectar agentes para verificar a rede interna. É possível exportar o relatório em vários formatos: * .nessus, * .csv, * .db, * .pdf.


Na captura de tela, todos os domínios são "test"


Perfis de verificação adicionais. Este artigo não é afetado

Após a varredura, as estatísticas e a priorização das vulnerabilidades encontradas se tornam disponíveis - informações críticas, altas, médias e baixas.



O cartão de vulnerabilidade fornece informações adicionais sobre ele e algumas recomendações para sua eliminação.



Verifique php.testsparker.com . Vulnerabilidades de alta prioridade:

H: Vulnerabilidades de componentes
- versão fora de suporte do PHP
- versão fora de suporte do Apache
H: Injeção de código
H: SQLinj
H: XSS
H: LFI
H: Traversal do caminho


Agora premium.bgabank.com . Vulnerabilidades de alta prioridade:

H: Vulnerabilidades de componentes

• fora da versão de suporte do PHP
  
• Vulnerabilidades do Apache
  
• Vulnerabilidades de inicialização
  
• vulnerabilidades do jQuery
  

O scanner Tenable.io teve um bom desempenho , encontrou muitas vulnerabilidades . O trabalho com ele é simplificado por uma interface gráfica conveniente e apresentação de dados. Outra vantagem é a presença de perfis de verificação adicionais, nos quais decidimos até agora não enterrar. Um recurso importante é a estrutura de serviço em nuvem. Por um lado, o serviço não usa recursos de computação local de um computador em funcionamento. Por outro lado, não poderá verificar aplicativos da Web na rede local.

Burp suite pro

O Burp Suite é uma solução completa de revisão de aplicativos da web. Inclui uma variedade de utilitários para melhorar e acelerar a pesquisa de vulnerabilidades em aplicativos da web.

O Burp Suite possui os seguintes utilitários:

• Proxy - um servidor proxy que intercepta o tráfego que passa pelo protocolo HTTP (S) no modo man-in-the-middle. Entre o navegador e o aplicativo Web de destino, esse utilitário permite interceptar, examinar e alterar o tráfego nas duas direções.
  
• Spider é uma web spider que coleta automaticamente informações sobre o conteúdo e a funcionalidade de um aplicativo (recurso da web).
  
• Scanner (apenas no Burp Suite Pro) - um scanner para procurar automaticamente vulnerabilidades em aplicativos da web.
  
• Intruso - um utilitário flexível que permite realizar ataques de vários tipos automaticamente. Por exemplo, enumerando identificadores, coletando informações importantes e muito mais.
  
• O Repeater é uma ferramenta para modificar e reenviar manualmente solicitações HTTP individuais, bem como para analisar respostas de aplicativos.
  
• O Sequencer é um utilitário para analisar dados de aplicativos aleatórios, com a capacidade de prever o algoritmo para gerá-los.
  
• O decodificador é um utilitário para codificar ou decodificar manualmente ou automaticamente os dados do aplicativo.
  
• O Comparer é uma ferramenta para encontrar diferenças visuais entre duas variações de dados.
  
• Extender - uma ferramenta para adicionar extensões ao Burp Suite
  

O utilitário Scanner é apresentado na guia de mesmo nome da janela principal do programa Burp Suite. A interface é de língua inglesa, mas quem pode assustar agora?



A guia Definição de problema fornece uma lista completa de todas as vulnerabilidades que esse scanner pode identificar. Note-se que a lista é muito impressionante.



Todas as vulnerabilidades são divididas em 3 categorias: alta, média e baixa. Há também uma categoria de informações, que inclui mecanismos para coletar várias informações úteis sobre o recurso digitalizado.
Ao iniciar uma varredura na janela da fila de Varredura, podemos observar o progresso em estágios. "Diferenciação de cores das calças" está presente.



Na guia Opções, as configurações básicas da digitalização são definidas.



Por conveniência, as opções são divididas em categorias. Se necessário, você pode obter ajuda para cada categoria diretamente na janela de configurações.



Em geral, o Burp Suite Pro mostrou um bom resultado. Ao verificar o php.testsparker.com , foram encontradas e classificadas vulnerabilidades suficientes para obter controle total sobre o aplicativo Web e seus dados - são injeção de comando do SO, SSTI e passagem de caminho do arquivo.


O seguinte foi encontrado em premium.bgabank.com :
H: Script entre sites (refletido)
M: cookie SSL sem sinalizador seguro definido
M: certificado SSL (não confiável ou expirado)
L: Cookie sem sinalizador HttpOnly definido
L: campo de senha com o preenchimento automático ativado
L: segurança estrita de transporte não imposta

Se você costuma usar o Burp Suite para o teste da web , gosta do seu ecossistema, mas deseja automatizar o processo de busca de vulnerabilidades de alguma forma, esse utilitário se encaixa perfeitamente no seu arsenal .

Acunetix

Em conclusão - outro scanner comercial muito bom. É promovido de maneira muito ativa por meio da publicidade, mas o Acutenix não teria sido bem-sucedido sem sua ampla funcionalidade. Entre as vulnerabilidades disponíveis para ele para detecção estão todos os tipos de injeção de SQL, scripts entre sites, injeção de CRLF e outros prazeres do pentester de aplicativos da Web. É importante notar que, para digitalização de alta qualidade, você precisa selecionar o perfil correto.

A interface do painel é boa:



Todas as vulnerabilidades identificadas são tradicionalmente divididas em quatro categorias: Alta, Média, Baixa. Bem, e onde sem a categoria Informações, que inclui todos os dados interessantes, de acordo com o scanner.



Na guia Verificações, podemos observar o progresso da verificação e outras informações de diagnóstico.



Após a conclusão da verificação, na guia Vulnerabilidades, podemos nos familiarizar com o que e em que quantidade foi encontrada. Diferenciação de cores no local.

No teste em php.testsparker.com, o scanner mostrou um bom resultado, mas com premium.bgabank.com, francamente, nos decepcionou .



O Acunetix possui ótimos recursos e é adequado se você estiver procurando por uma solução independente . A interface da Web é simples e clara, os infográficos e os relatórios parecem bastante digeríveis. , , : « . . ».

.

• OWASP ZAP . .
  
• W9scan , .
  
• Wapiti OWASP ZAP , W9scan.
  
• Arachni — «-».
  
• Paros , .
  
• Tenable.io , . , .
  
• Burp Suite Pro , Burp Suite, .
  
• Acunetix , stand-alone .