На днях потребовалось просканировать удалённый хост на наличие открытых портов. Дело не пыльное, тем более, когда есть такой инструмент как nmap. Но тут меня ждал облом. При запуске программы на сканирование, она завершала работу с ошибкой…
Как заметил уважаемый doznpp, следует различать понятия «безопасность сайта» и «безопасность системы управления сайтом». При тесте на проникновение атакующий может скомпрометировать целевое веб-приложение, не обнаружив ни одной уязвимости в CMS. Одним из таких методов являются уязвимости класса «недостаточной аутентификации» (Insufficient Authentication), так хорошо знакомые администраторам сетевых устройств CISCO ;).
Пароли, установленные по умолчанию (что-то вроде admin:admin) в панелях администрирования, стали головной болью многих веб-мастеров и, как следствие, лакомым кусочком для хакеров и пентестеров, став отдельным типом уязвимостей.
В апрельском номере российского и (не побоюсь этого слова) культового журнала «Хакер», посвященного информационной безопасности в самых широких ее сферах применения, опубликована статья «Хакерский распредел» от имени нашего проекта вообще и моего имени в частности.
Важной задачей анализа является изучение составных частей объекта и определение их функций в общей модели. При проведении теста на проникновение или аудита одним из ключевых этапов является сбор информации об объекте исследования с целью последующего анализа и выявления потенциальных брешей в его структуре. По этим причинам в настоящее время инструментам сбора и обработки информации уделяется все больше внимания.
В данном разделе собраны онлайн-утилиты, которые могут оказаться полезными при проведении тестов на проникновение, аудите безопасности различных web-приложений, проверке защищенности собственных ресурсов для обычных пользователей.
Все программное обеспечение предоставлено исключительно в целях законного использования. В противном случае, авторы данных программ не несут ответственности.
MassDetect
Массовое определение плагинов браузера
Scaniki
Сканер структуры сайта
