Как проверить свой хостинг ( сайт ) на уязвимости. (1 Viewer)

[xatop]

Для этого идем сюда
[HIDE=10]http://www.mavitunasecurity.com/communityedition/#prettyphoto[CE]/6/
[/HIDE]
и юзаем веб-версию Netsparker или качаем его.
Web Vulnerability Scanner

Netsparker Community Edition is a SQL Injection Scanner.

Спойлер

It's a free edition of our web vulnerability scanner for the community so you can start securing your website now. It's user friendly, fast, smart and as always False-Positive-Free.

It shares many features with professional edition. It can detect SQL Injection and XSS issues better than many other scanners (if not all), and it's completely FREE.

 

[X-Shar]

Кто-то тестирует для защиты, а кто-то для взлома !

Наверное зря пишу, но не могу сдержаться, вот знаю ещё такой сервис:

Так-то он для сеошников и поисковой оптимизации предназначен, НО, выдаёт кучу инфы, которая может-быть интересна хакеру, а именно версия ОС, версия Apache, версия PHP и многое другое...

Это так, для размышления !

И ещё вот сервисы, для определения движков сайтов, это уже для совсем ленивых:

 

[xatop]

Под хайдом[HIDE=46] архив [/HIDE] четыре скрипта, каждый для своей CMS — Drupal, Joomla, WordPress и TextPattern. Вот устройство одного из них, скрипты работают по одному принципу.

#/usr/bin/perl
 
# iswp.pl script
# (c) Alexandr A Alexeev 2009 | eax.me
 
use strict;
 
my $dn = shift;
 
print "Invalid domain name\n" and exit 1
  unless($dn =~ /^[a-z0-9\.\-]+$/);
 
my $data = `wget -q $dn -O -`;
 
print "Download failed: $?\n" and exit 2 if($?);
 
my $cnt = 0;
 
$cnt ++ if($data =~ /UTF\-8/gi);
$cnt ++ if($data =~ /\/wp\-content\/themes\//gi);
$cnt ++ if($data =~ /\/wp\-content\/plugins\//gi);
$cnt ++ if($data =~ /WordPress/gi);
$cnt ++ if($data =~ /\/wp\-includes\//);
$cnt ++ if($data =~ /\/xmlrpc\.php/);
 
$cnt = int $cnt * 100 / 6;
 
print "WordPress:$cnt\n";

 

[xatop]

PHPFastScanner - многопоточный Reverse-IP сканнер на PHP

Актуальная версия: 3.2 (26.11.2011)
Сканер создан для выполнения всей рутиной работы при взломе через Reverse-IP.

Основные возможности:

• Анализ соседей целевого сайта по Reverse-IP
• Определение используемых движков (в базе 68 сигнатур)
• Возможность добавлять свои сигнатуры движков в общую базу (см. FAQ)
• Поиск phpinfo, phpmyadmin, sypex dumper
• Сканирование структуры сайта + вложенное сканирование каталогов
• Наборы словарей для сканирования структуры сайта, разбиты по типу файлов и по популярности
• Возможность добавлять свои наборы словарей для сканирования структуры сканера (см. FAQ)
• Метод HEAD сканирования структуры (экономия трафика + увеличение скорости)
• Определение несуществующих страниц по коду ответа и(!) методом сравнения содержимого с заведомо несуществующей страницей
• Раздельная обработка разных расширений (уменьшение ложных срабатываний при анализе структуры)
• Поддержка Keep-Alive соединений (увеличение скорости)
• Поддержка многопоточности (увеличение скорости)
• Понятный интерфейс, множество различных настроек, наличие встроенного FAQ

Вообще это малая часть всех возможностей, все таки 130кб чистого кода для сканера это вам не цацки пецкать, все не опишешь =)
Ксатати более подробно вы сможете почитать во встроенном FAQ

При разработке основной упор делался на возможность дальнейшего расширения сканера новым функционалом. Поэтому в следующих версиях, думаю, появится много нового. А пока надо бы его потестить и почистить от багов, если таковые имеются.

Установка:
Распакуйте архив и выставьте права на запись в папку tmp/

Благодарности:

• Grey - за большое количество идей и помощь
• oRb - за дизайн содранный из его WSO
• m0Hze - за is_numeric и за словари к сканеру структуры
• eLwaux - за большую часть сигнатур движков

При размещении данной утилиты на сторонних сайтах, обязательно указание авторства и наличия прямого линка на данную страницу:
[HIDE=101] __https://rdot.org/forum/showthread.php?t=1160 [/HIDE]
Вложения
https://ru-sfera.org/data/MetaMirrorCache/rdot.org_forum_images_visions_attach_rar.gif PHPFastScanner_31b.rar (83.7 Кб, 1553 просмотров)
https://ru-sfera.org/data/MetaMirrorCache/rdot.org_forum_images_visions_attach_zip.gif PHPFastScanner_3.2.zip (91.7 Кб, 141 просмотров)

 

[xatop]

И для любителей ОгнеЛиса:
[HIDE=1] http://wappalyzer.com/installed?utm_source=firefox&utm_medium=install&utm_campaign=extensions [/HIDE]

 

[Антоха]

PHPFastScanner - многопоточный Reverse-IP сканнер на PHP

Действительно прикольная вещь.Сейчас с помощью этой хрени попробовал посканить наш форум на настройках по минимуму (ничего интересного) и тот стихофорум где я тусовался ранее,здесь уже более интересно.Тут можно получить доступ в веб-интерфейсу админки баз данных.Правда есть ограничения по правам доступа.Олег ты только не забань меня ненароком.Я можно сказать провожу пентестинг нашего форума на наличи уязвимостей.Кстати к этому сканеру,должна ещё прилагаться эта статья от его создателя.Кто хочет протестировать данный сканер:PHPFastScanner v3.1b иPHPFastScanner v3 .2
Во втором сканере заменил оригинальный файл class.CBingReverseIP,на более усовершенствованный.Вообщем я их вообще не так применял) не в том направлении.Всё гораздо хитрее.При настройках на максимум у меня завис браузер,90% оперативы загружено,помогла только перезагрузка компа.
З.Ы.Спросим у Олега,что это вообще за хрень такая и как ей правильно пользоваться.

 

[BioNIX]

Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда

 

[Антоха]

Антоха, Так ты свою стихидлу можешь хакнуть, в тебя там пароли есть как бы их можно тырнуть, я в этом ничего не понимаю правда

Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)

 

[BioNIX]

Да я думаю ничего там сделать нельзя,там везде ограничение по правам доступа.Да и знаний у меня тоже нет нихрена:)

А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть

 

[Антоха]

А ты права доступа через другую прогу попробуй типа снифера прописать ник админа может и пароль получишь, где то так не знаю точно могу и напиздеть

Если бы это было так просто),тогда бы все бы сайты лежали взломанные нубами.Всему нужно учится и чем раньше,тем лучше,потому что сейчас уже башка не так восприимчива к информации,чем например лет в 19.