Kali Linux – Website Penetration Testing

In diesem Kapitel lernen wir die von Kali Linux angebotenen Website Penetration Tests kennen.

Vega Verwendung

Vega ist ein kostenloser und quelloffener Scanner und eine Testplattform zum Testen der Sicherheit von Webanwendungen. Vega kann Ihnen helfen, SQL Injection, Cross-Site Scripting (XSS), ungewollt offengelegte sensible Informationen und andere Schwachstellen zu finden und zu überprüfen. Es ist in Java geschrieben, basiert auf einer grafischen Benutzeroberfläche und läuft unter Linux, OS X und Windows.

Vega enthält einen automatischen Scanner für schnelle Tests und einen abfangenden Proxy für die taktische Überprüfung. Vega kann über eine leistungsfähige API in der Sprache des Webs erweitert werden: JavaScript. Die offizielle Webseite lautet https://subgraph.com/vega/

Schritt 1 – Um Vega zu öffnen, gehen Sie zu Anwendungen → 03-Web-Anwendungsanalyse → Vega

Schritt 2 – Wenn Sie keine Anwendung im Pfad sehen, geben Sie den folgenden Befehl ein.

Schritt 3 – Um einen Scan zu starten, klicken Sie auf das „+“-Zeichen.

Schritt 4 – Geben Sie die URL der Webseite ein, die gescannt werden soll. In diesem Fall ist es ein metasploitischer Rechner → klicken Sie auf „Weiter“.

Schritt 5 – Markieren Sie alle Kästchen der Module, die kontrolliert werden sollen. Klicken Sie dann auf „Weiter“.

Schritt 6 – Klicken Sie im folgenden Screenshot erneut auf „Weiter“.

Schritt 7 – Klicken Sie auf „Fertigstellen“.

Schritt 8 – Wenn die folgende Tabelle angezeigt wird, klicken Sie auf „Ja“.

Der Scan wird wie im folgenden Screenshot gezeigt fortgesetzt.

Schritt 9 – Nachdem der Scan abgeschlossen ist, können Sie auf der linken Seite alle Ergebnisse sehen, die nach dem Schweregrad kategorisiert sind. Wenn Sie darauf klicken, sehen Sie auf der rechten Seite alle Details zu den Schwachstellen wie „Anforderung“, „Diskussion“, „Auswirkung“ und „Abhilfe“.

ZapProxy

ZAP-OWASP Zed Attack Proxy ist ein einfach zu bedienendes integriertes Penetrationstest-Tool zum Auffinden von Schwachstellen in Webanwendungen. Es handelt sich um eine Java-Schnittstelle.

Schritt 1 – Um ZapProxy zu öffnen, gehen Sie zu Anwendungen → 03-Web-Anwendungsanalyse → owaspzap.

Schritt 2 – Klicken Sie auf „Akzeptieren“.

ZAP beginnt zu laden.

Schritt 3 – Wählen Sie eine der Optionen aus, wie im folgenden Screenshot gezeigt, und klicken Sie auf „Start“.

Folgendes Web ist metasploitable mit IP :192.168.1.101

Schritt 4 – Geben Sie die URL des Testwebs unter „URL to attack“ ein → klicken Sie auf „Attack“.

Nach Abschluss des Scans sehen Sie oben links alle gecrawlten Seiten.

Im linken Bereich „Alerts“ sehen Sie alle Ergebnisse zusammen mit der Beschreibung.

Schritt 5 – Klicken Sie auf „Spider“ und Sie sehen alle gescannten Links.

Nutzung von Datenbank-Tools

sqlmap

sqlmap ist ein Open-Source-Tool für Penetrationstests, das den Prozess der Erkennung und Ausnutzung von SQL-Injection-Fehlern und die Übernahme von Datenbankservern automatisiert. Es verfügt über eine leistungsstarke Erkennungs-Engine, viele Nischenfunktionen für den ultimativen Penetrationstester und eine breite Palette von Schaltern, die vom Datenbank-Fingerprinting über das Abrufen von Daten aus der Datenbank bis hin zum Zugriff auf das zugrunde liegende Dateisystem und die Ausführung von Befehlen auf dem Betriebssystem über Out-of-Band-Verbindungen reichen.

Lernen wir, wie man sqlmap verwendet.

Schritt 1 – Um sqlmap zu öffnen, gehen Sie zu Anwendungen → 04-Datenbankbewertung → sqlmap.

Die Webseite mit anfälligen Parametern für SQL-Injection ist metasploitable.

Schritt 2 – Um den SQL-Injection-Test zu starten, geben Sie „sqlmap – u URL of victim“

Schritt 3 – Anhand der Ergebnisse werden Sie sehen, dass einige Variablen anfällig sind.

sqlninja

sqlninja ist eine SQL Injection auf Microsoft SQL Server, die einen vollständigen GUI-Zugriff ermöglicht. sqlninja ist ein Tool, das darauf abzielt, SQL Injection-Schwachstellen in einer Webanwendung auszunutzen, die Microsoft SQL Server als Back-End verwendet. Ausführliche Informationen zu diesem Tool finden Sie unter http://sqlninja.sourceforge.net/

Schritt 1 – Um sqlninja zu öffnen, gehen Sie zu Anwendungen → 04-Datenbankanalyse → sqlninja.

CMS-Scanning-Tools

WPScan

WPScan ist ein Blackbox-WordPress-Schwachstellen-Scanner, der verwendet werden kann, um entfernte WordPress-Installationen auf Sicherheitsprobleme hin zu überprüfen.

Schritt 1 – Um WPscan zu öffnen, gehen Sie zu Anwendungen → 03-Web-Anwendungsanalyse → „wpscan“.

Der folgende Screenshot wird angezeigt.

Schritt 2 – Um eine Website auf Sicherheitslücken zu scannen, geben Sie „wpscan -u URL der Webseite“ ein.

Wenn der Scanner nicht aktualisiert ist, werden Sie aufgefordert, ihn zu aktualisieren. Ich empfehle, dies zu tun.

Wenn der Scan beginnt, sehen Sie die Ergebnisse. Im folgenden Screenshot sind die Schwachstellen durch einen roten Pfeil gekennzeichnet.

Joomscan

Joomla ist aufgrund seiner Flexibilität wahrscheinlich das am weitesten verbreitete CMS da draußen. Für dieses CMS gibt es einen Joomla-Scanner. Er hilft Webentwicklern und Webmastern, mögliche Sicherheitslücken auf ihren eingesetzten Joomla-Seiten zu identifizieren.

Schritt 1 – Um ihn zu öffnen, klicken Sie einfach auf die linke Leiste am Terminal und dann auf „joomscan – parameter“.

Schritt 2 – Um Hilfe zur Benutzung zu erhalten, geben Sie „joomscan /?“

Schritt 3 – Um den Scan zu starten, geben Sie „joomscan -u URL des Opfers“ ein.

Die Ergebnisse werden wie im folgenden Screenshot gezeigt angezeigt.

SSL Scanning Tools

TLSSLed ist ein Linux-Shell-Skript, das verwendet wird, um die Sicherheit einer SSL/TLS (HTTPS) Webserver-Implementierung zu bewerten. Es basiert auf sslscan, einem gründlichen SSL/TLS-Scanner, der auf der openssl-Bibliothek basiert, und auf dem Kommandozeilenwerkzeug „openssl s_client“.

Die aktuellen Tests umfassen die Überprüfung, ob das Ziel das SSLv2-Protokoll unterstützt, die NULL-Chiffre, schwache Chiffren basierend auf ihrer Schlüssellänge (40 oder 56 Bit), die Verfügbarkeit starker Chiffren (wie AES), ob das digitale Zertifikat MD5-signiert ist und die aktuellen SSL/TLS-Neuverhandlungsfähigkeiten.

Um den Test zu starten, öffnen Sie ein Terminal und geben Sie „tlssled URL port“ ein. Es wird beginnen, das Zertifikat zu testen, um Daten zu finden.

Dem Ergebnis können Sie entnehmen, dass das Zertifikat bis 2018 gültig ist, wie im folgenden Screenshot grün dargestellt.

w3af

w3af ist ein Web Application Attack and Audit Framework, das darauf abzielt, alle Schwachstellen von Webanwendungen zu identifizieren und auszunutzen. Dieses Paket bietet eine grafische Benutzeroberfläche (GUI) für das Framework. Wenn Sie nur eine Befehlszeilenanwendung wünschen, installieren Sie w3af-console.

Das Framework wurde als „Metasploit für das Web“ bezeichnet, aber es ist eigentlich viel mehr, da es auch die Schwachstellen von Webanwendungen mithilfe von Blackbox-Scan-Techniken aufdeckt. Der w3af-Kern und seine Plugins sind vollständig in Python geschrieben. Das Projekt verfügt über mehr als 130 Plugins, die SQL-Injection, Cross-Site-Scripting (XSS), Remote File Inclusion und vieles mehr identifizieren und ausnutzen.

Schritt 1 – Um es zu öffnen, gehen Sie zu Anwendungen → 03-Web Application Analysis → Klicken Sie auf w3af.

Schritt 2 – Geben Sie unter „Ziel“ die URL des Opfers ein, die in diesem Fall eine metasploitable Webadresse sein wird.

Schritt 3 – Wählen Sie das Profil aus → Klicken Sie auf „Start“.

Schritt 4 – Gehen Sie auf „Ergebnisse“ und Sie können den Fund mit den Details sehen.