Как проверить свой хостинг ( сайт ) на уязвимости.

Для этого идем сюда
http://www.mavitunasecurity.com/communityedition/#prettyphoto[CE]/6/

и юзаем веб-версию Netsparker или качаем его.
Web Vulnerability Scanner

Netsparker Community Edition is a SQL Injection Scanner.

Спойлер

It's a free edition of our web vulnerability scanner for the community so you can start securing your website now. It's user friendly, fast, smart and as always False-Positive-Free.

It shares many features with professional edition. It can detect SQL Injection and XSS issues better than many other scanners (if not all), and it's completely FREE.

 

Под хайдом архив четыре скрипта, каждый для своей CMS — Drupal, Joomla, WordPress и TextPattern. Вот устройство одного из них, скрипты работают по одному принципу.

Код:

#/usr/bin/perl
 
# iswp.pl script
# (c) Alexandr A Alexeev 2009 | eax.me
 
use strict;
 
my $dn = shift;
 
print "Invalid domain name\n" and exit 1
  unless($dn =~ /^[a-z0-9\.\-]+$/);
 
my $data = `wget -q $dn -O -`;
 
print "Download failed: $?\n" and exit 2 if($?);
 
my $cnt = 0;
 
$cnt ++ if($data =~ /UTF\-8/gi);
$cnt ++ if($data =~ /\/wp\-content\/themes\//gi);
$cnt ++ if($data =~ /\/wp\-content\/plugins\//gi);
$cnt ++ if($data =~ /WordPress/gi);
$cnt ++ if($data =~ /\/wp\-includes\//);
$cnt ++ if($data =~ /\/xmlrpc\.php/);
 
$cnt = int $cnt * 100 / 6;
 
print "WordPress:$cnt\n";

 

PHPFastScanner - многопоточный Reverse-IP сканнер на PHP

Актуальная версия: 3.2 (26.11.2011)
Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.

Основные возможности:

• Анализ соседей целевого сайта по Reverse-IP
• Определение используемых движков (в базе 68 сигнатур)
• Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
• Поиск phpinfo, phpmyadmin, sypex dumper
• Сканирование структуры сайта + вложенное сканирование каталогов
• Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
• Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
• Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
• Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
• Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
• Поддержка Keep-Alive соединений (увеличение скорости)
• Поддержка многопоточности (увеличение скорости)
• Понятный интерфейс, множество различных настроек, наличие встроенного FAQ

Вообще это малая часть всех возможностей, все таки 130кб чистого кода для сканера это вам не цацки пецкать, все не опишешь =)
Ксатати более подробно вы сможете почитать во встроенном FAQ

При разработке основной упор делался на возможность дальнейшего расширения сканера новым функционалом. Поэтому в следующих версиях, думаю, появится много нового. А пока надо бы его потестить и почистить от багов, если таковые имеются.

Установка:
Распакуйте архив и выставьте права на запись в папку tmp/

Благодарности:

• Grey - за большое количество идей и помощь
• oRb - за дизайн содранный из его WSO
• m0Hze - за is_numeric и за словари к сканеру структуры
• eLwaux - за большую часть сигнатур движков

При размещении данной утилиты на сторонних сайтах, обязательно указание авторства и наличия прямого линка на данную страницу:
__https://rdot.org/forum/showthread.php?t=1160
Вложения
PHPFastScanner_31b.rar (83.7 Кб, 1553 просмотров)
PHPFastScanner_3.2.zip (91.7 Кб, 141 просмотров)

 

И для любителей ОгнеЛиса:
http://wappalyzer.com/installed?utm_source=firefox&utm_medium=install&utm_campaign=extensions

 

Действительно прикольная вещь.Сейчас с помощью этой хрени попробовал посканить наш форум на настройках по минимуму (ничего интересного) и тот стихофорум где я тусовался ранее,здесь уже более интересно.Тут можно получить доступ в веб-интерфейсу админки баз данных.Правда есть ограничения по правам доступа.Олег ты только не забань меня ненароком.Я можно сказать провожу пентестинг нашего форума на наличи уязвимостей.Кстати к этому сканеру,должна ещё прилагаться эта статья от его создателя.Кто хочет протестировать данный сканер:PHPFastScanner v3.1b иPHPFastScanner v3 .2
Во втором сканере заменил оригинальный файл class.CBingReverseIP,на более усовершенствованный.Вообщем я их вообще не так применял) не в том направлении.Всё гораздо хитрее.При настройках на максимум у меня завис браузер,90% оперативы загружено,помогла только перезагрузка компа.
З.Ы.Спросим у Олега,что это вообще за хрень такая и как ей правильно пользоваться.

 

Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда

 

Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)

 

А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть

 

Если бы это было так просто),тогда бы все бы сайты лежали взломанные нубами.Всему нужно учится и чем раньше,тем лучше,потому что сейчас уже башка не так восприимчива к информации,чем например лет в 19.