• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Как проверить свой хостинг ( сайт ) на уязвимости. (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

xatop

old root
Форумчанин
Регистрация
13.03.2013
Сообщения
103
Репутация
185
Для этого идем сюда
[HIDE=10]http://www.mavitunasecurity.com/communityedition/#prettyphoto[CE]/6/
[/HIDE]
и юзаем веб-версию Netsparker или качаем его.
Web Vulnerability Scanner

Netsparker Community Edition is a SQL Injection Scanner.
It's a free edition of our web vulnerability scanner for the community so you can start securing your website now. It's user friendly, fast, smart and as always False-Positive-Free.

It shares many features with professional edition. It can detect SQL Injection and XSS issues better than many other scanners (if not all), and it's completely FREE.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 380
Репутация
7 875
Telegram
Кто-то тестирует для защиты, а кто-то для взлома !sm3888

Наверное зря пишу, но не могу сдержаться, вот знаю ещё такой сервис:
Вам нужно авторизоваться, чтобы просмотреть содержимое.


Так-то он для сеошников и поисковой оптимизации предназначен, НО, выдаёт кучу инфы, которая может-быть интересна хакеру, а именно версия ОС, версия Apache, версия PHP и многое другое...sm3888

Это так, для размышления !

И ещё вот сервисы, для определения движков сайтов, это уже для совсем ленивых:
Вам нужно авторизоваться, чтобы просмотреть содержимое.
 

xatop

old root
Форумчанин
Регистрация
13.03.2013
Сообщения
103
Репутация
185
Под хайдом[HIDE=46] архив [/HIDE] четыре скрипта, каждый для своей CMS — Drupal, Joomla, WordPress и TextPattern. Вот устройство одного из них, скрипты работают по одному принципу.
Код:
#/usr/bin/perl
 
# iswp.pl script
# (c) Alexandr A Alexeev 2009 | eax.me
 
use strict;
 
my $dn = shift;
 
print "Invalid domain name\n" and exit 1
  unless($dn =~ /^[a-z0-9\.\-]+$/);
 
my $data = `wget -q $dn -O -`;
 
print "Download failed: $?\n" and exit 2 if($?);
 
my $cnt = 0;
 
$cnt ++ if($data =~ /UTF\-8/gi);
$cnt ++ if($data =~ /\/wp\-content\/themes\//gi);
$cnt ++ if($data =~ /\/wp\-content\/plugins\//gi);
$cnt ++ if($data =~ /WordPress/gi);
$cnt ++ if($data =~ /\/wp\-includes\//);
$cnt ++ if($data =~ /\/xmlrpc\.php/);
 
$cnt = int $cnt * 100 / 6;
 
print "WordPress:$cnt\n";
 

xatop

old root
Форумчанин
Регистрация
13.03.2013
Сообщения
103
Репутация
185
PHPFastScanner - многопоточный Reverse-IP сканнер на PHP

Актуальная версия: 3.2 (26.11.2011)
Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.

Основные возможности:
  • Анализ соседей целевого сайта по Reverse-IP
  • Определение используемых движков (в базе 68 сигнатур)
  • Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
  • Поиск phpinfo, phpmyadmin, sypex dumper
  • Сканирование структуры сайта + вложенное сканирование каталогов
  • Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
  • Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
  • Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
  • Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
  • Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
  • Поддержка Keep-Alive соединений (увеличение скорости)
  • Поддержка многопоточности (увеличение скорости)
  • Понятный интерфейс, множество различных настроек, наличие встроенного FAQ
Вообще это малая часть всех возможностей, все таки 130кб чистого кода для сканера это вам не цацки пецкать, все не опишешь =)
Ксатати более подробно вы сможете почитать во встроенном FAQ

При разработке основной упор делался на возможность дальнейшего расширения сканера новым функционалом. Поэтому в следующих версиях, думаю, появится много нового. А пока надо бы его потестить и почистить от багов, если таковые имеются.

Установка:
Распакуйте архив и выставьте права на запись в папку tmp/

Благодарности:
  • Grey - за большое количество идей и помощь
  • oRb - за дизайн содранный из его WSO
  • m0Hze - за is_numeric и за словари к сканеру структуры
  • eLwaux - за большую часть сигнатур движков

При размещении данной утилиты на сторонних сайтах, обязательно указание авторства и наличия прямого линка на данную страницу:
[HIDE=101] __https://rdot.org/forum/showthread.php?t=1160 [/HIDE]
Вложения
https://ru-sfera.org/data/MetaMirrorCache/rdot.org_forum_images_visions_attach_rar.gif PHPFastScanner_31b.rar (83.7 Кб, 1553 просмотров)
https://ru-sfera.org/data/MetaMirrorCache/rdot.org_forum_images_visions_attach_zip.gif PHPFastScanner_3.2.zip (91.7 Кб, 141 просмотров)
 

xatop

old root
Форумчанин
Регистрация
13.03.2013
Сообщения
103
Репутация
185

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
PHPFastScanner - многопоточный Reverse-IP сканнер на PHP
Действительно прикольная вещь.Сейчас с помощью этой хрени попробовал посканить наш форум на настройках по минимуму (ничего интересного) и тот стихофорум где я тусовался ранее,здесь уже более интересно.Тут можно получить доступ в веб-интерфейсу админки баз данных.Правда есть ограничения по правам доступа.Олег ты только не забань меня ненароком.Я можно сказать провожу пентестинг нашего форума на наличи уязвимостей.Кстати к этому сканеру,должна ещё прилагаться эта статья от его создателя.Кто хочет протестировать данный сканер:PHPFastScanner v3.1b иPHPFastScanner v3 .2
Во втором сканере заменил оригинальный файл class.CBingReverseIP,на более усовершенствованный.Вообщем я их вообще не так применял) не в том направлении.Всё гораздо хитрее.При настройках на максимум у меня завис браузер,90% оперативы загружено,помогла только перезагрузка компа.
З.Ы.Спросим у Олега,что это вообще за хрень такая и как ей правильно пользоваться.

Снимок2.PNG Снимок.PNG
 
B

BioNIX

Гость
Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда
Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)
 
B

BioNIX

Гость
Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)
А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть
Если бы это было так просто),тогда бы все бы сайты лежали взломанные нубами.Всему нужно учится и чем раньше,тем лучше,потому что сейчас уже башка не так восприимчива к информации,чем например лет в 19.
 
Автор темы Похожие темы Форум Ответы Дата
virt Хостинг и настройка серверов 5
X-Shar Хостинг и настройка серверов 1
X-Shar Хостинг и настройка серверов 0
X-Shar Хостинг и настройка серверов 0
X-Shar Хостинг и настройка серверов 0
X-Shar Хостинг и настройка серверов 0
X-Shar Хостинг и настройка серверов 0
X-Shar Хостинг и настройка серверов 11
Ворошилов Хостинг и настройка серверов 13
X-Shar Хостинг и настройка серверов 3