Веб-приложения — самый популярный вектор атак, с этим не поспоришь. Для работы с ними используем два инструмента с разной логикой: Nikto проходит по серверу автоматически, Burp Suite — это уже ручной интерактивный анализ каждого запроса.
Nikto — быстрый способ проверить веб-сервер на известные проблемы. Запустил, подождал, получил список:
# Базовое сканирование
nikto -h http://192.168.1.100
# Сканирование HTTPS
nikto -h https://192.168.1.100 -ssl
# Сканирование конкретного порта с отчётом в HTML
nikto -h 192.168.1.100 -p 8080 -o report.html -Format html
# Тюнинг: только проверка конфигурации и устаревших файлов
nikto -h http://192.168.1.100 -Tuning 24
# Использование прокси (например, через Burp Suite)
nikto -h http://192.168.1.100 -useproxy http://127.0.0.1:8080
На практике Nikto стабильно находит следующее: устаревшие версии веб-сервера, торчащие наружу информационные файлы вроде phpinfo или readme, отсутствие заголовков безопасности — X-Frame-Options, CSP, уязвимые CGI-скрипты и директории по умолчанию типа admin, backup, test. Последнее встречается удивительно часто даже у серьёзных компаний.
Burp Suite Community — прокси для глубокого анализа HTTP-трафика. Если Nikto смотрит снаружи, то Burp встаёт между браузером и сервером и видит всё изнутри:
- Запустите Burp Suite и настройте прокси на порту 8080
- В браузере настройте HTTP-прокси: 127.0.0.1:8080
- Откройте целевой сайт — все запросы отобразятся во вкладке «Proxy → HTTP history»
Про модули Burp Suite — коротко по делу:
- Proxy — перехват и модификация HTTP-запросов в реальном времени
- Repeater — ручная отправка модифицированных запросов для тестирования
- Intruder — автоматический перебор параметров (fuzzing)
- Decoder — кодирование/декодирование Base64, URL, HTML
Классический пример из практики. Перехватываете POST-запрос авторизации, кидаете его в Repeater, меняете значение параметра password на ' OR 1=1 -- и смотрите, что вернёт сервер. Если пришёл ответ 200 с содержимым личного кабинета — SQL-инъекция подтверждена. Такое до сих пор встречается в production, причём не только у стартапов.
Оставить комментарий