Testen eines Servers auf Sicherheitslücken

Ich suche ein gutes Tool (Software oder Webdienst), das einen Windows-Webserver auf mögliche Schwachstellen überprüfen kann. Je mehr desto besser. (Überprüfung von außen, durch eine gegebene IP-Adresse, aber möglicherweise auch von innen.)

Ich sehe, dass es viele Webdienste gibt, aber:

  1. Ich bin mir nicht sicher, ob ich ihnen vertrauen kann
  2. Ich bin mir nicht sicher, ob sie wirklich gut und zuverlässig sind
Das ist viel zu breit. Es ist unmöglich, nach allen möglichen Schwachstellen zu scannen. Einige Schwachstellen wurden noch nicht einmal gefunden.
Ich stimme zu, dass es breit ist, aber ich denke nicht, dass es so breit ist, dass es geschlossen werden muss. Ich denke, das OP erkennt wahrscheinlich, dass Tools zur Erkennung von Sicherheitslücken nicht perfekt sind.
@MarkHulkalo: "je mehr, desto besser" weist leicht darauf hin, dass OP bewusst ist, dass einige (unbekannte und sogar bekannte) Schwachstellen möglicherweise nicht erkannt werden.
Suchen Sie etwas wie Metasploit ?
@MarkHulkalo Ich wollte nicht nach "unbekannten Schwachstellen" suchen. Hauptsächlich suche ich nach einer Art "Sanity Check" für einen Server, der nach allgemein bekannten Problemen sucht. Beispielsweise könnte es feststellen, ob ein Standard-Wordpress-Konto ein „gemeinsames Passwort“ oder etwas Ähnliches hat. Ich möchte nur sicher sein, dass ich kein Detail übersehen habe und dass ich keine Hintertür offen habe, ohne es zu wissen. Ich bin ein ziemlich guter C#/SQL-Entwickler und kenne mich daher mit SQL-Injection und dergleichen aus, aber mir fehlt das umfassende Wissen eines Serveradministrators. Ich bin mir einfach nicht sicher, ob mein System wirklich sicher ist.

Antworten (2)

Das De-facto-Tool dafür ist Metaploit . Es unterstützt derzeit 1200 Exploits, von denen etwa 900 auf Windows zutreffen.

Normalerweise führen Sie Metasploit von einem Kali-Linux über die Metasploit-Konsole aus msfconsole. Von dort aus haben Sie useeinen Exploit, setein Ziel, eine setNutzlast und exploit es.

Unverzichtbare Ressource: der SANS Metasploit-Spickzettel

Metasploit (die Kommandozeilenversion, mit den Bezahlversionen habe ich keine Erfahrung) ist nicht selbsterklärend, man könnte also einen Online-Kurs belegen, z. B. Penetration Testing und Ethical Hacking mit Kali Linux bei Pluralsight (es gibt eine kostenlose Testversion, die ausreichen sollte). um dieses anzuschauen).

Beachten Sie, dass die Standard-Downloadseite [1] nur zwischen der Community-Edition und der Pro-Version unterscheidet, aber wenn Sie sich die Editionsseite [2] ansehen, gibt es auch die „Framework“-Edition, das ist das von Sicherheitsanalysten verwendete Befehlszeilentool und veröffentlicht als Open Source (BSD-Lizenz).

Wenn Sie das .tar.bz2Archiv extrahieren, stellen Sie sicher, dass Ihr Virenscanner ausgeschaltet ist oder das Verzeichnis ausschließt, in das Sie extrahieren, da der Virenscanner sonst viele der Dateien unter Quarantäne stellt, da sie als Bedrohung bekannt sind.

Metasploit ist ein gutes Tool, um skeptischen Chefs zu zeigen, wie einfach es ist, Zugang zu ihren Systemen zu erhalten. Es ist definitiv kein Tool, das ich verwenden würde, um neue Schwachstellen zu identifizieren, da es nur weiß, was dafür geschrieben wurde . Jetzt werden Module ziemlich schnell aktualisiert, also hat es einen Wert - aber verlassen Sie sich nie darauf.
@RoryAlsop: Wie ich die Frage gelesen habe, versucht OP nicht, neue Schwachstellen zu identifizieren, sondern einen Server gegen bekannte Schwachstellen zu testen.
Hmmm - so habe ich das überhaupt nicht gelesen. Er verwendete die Formulierung, die ich normalerweise von Leuten bekomme, die nicht verstehen, wie Sicherheitstests funktionieren.
@RoryAlsop: genau. Sie erwarten also nicht, dass so jemand neue Schwachstellen entdeckt, oder?
Danke dir! Metasploits sieht sehr gut aus! @RoryAlsop - Nun, ich bin hauptsächlich Entwickler, also kenne ich mich mit offenen Ports, SQL-Injection und guten Passwörtern aus. Aber mir fehlt das Wissen eines guten Server-Admins. Ich verwende einen Windows Server 2008 mit RDP und Wordpress, und ich würde einfach sicher sein, dass es "sicher" ist. In letzter Zeit habe ich viele Versuche gesehen, per FTP einzubrechen (ich habe es jetzt geschlossen), also bin ich etwas besorgt. Vielleicht wäre es am besten, einen Experten zu beauftragen, dem ich vertrauen kann.

Schwachstellen-Scanner

Web-Penetrationstest-Tools (Scanner/Crawls):

Nicht mehr gepflegt:

  • WebScarab – ein Proxy zum Ausspionieren des HTTP(S)-Datenverkehrs mit einer Funktion zum Testen von XSS- und SQL-Injection-Schwachstellen) oder „CRLF-Injection (HTTP-Response-Splitting)“ und mehr.

Kommerziell:

  • Netsparker - (kostenloser) Sicherheitsscanner für Webanwendungen
  • Burp Suite (PortSwigger) - Sicherheitstests von Webanwendungen.
  • Acunetix Web Vulnerability Scanner (kostenpflichtig) – scannt auf SQL-Injection, XSS, XXE, SSRF, Host-Header-Angriffe und über 3000 andere Web-Schwachstellen.
  • AppSpider (NTOSpider) - Sicherheitsscanner für Webanwendungen.
  • HP WebInspect – ein automatisiertes DAST-Tool (Dynamic Application Security Testing), das reale Hacking-Techniken und -Angriffe nachahmt.
  • IBM Security AppScan – statische und dynamische Anwendungssicherheitstests.
  • Trustwave (Hailstorm) – Cenzics dynamische Anwendungssicherheitstests (DAST).
  • Qualys – Sicherheits- und Compliance-Suite

Andere:

  • OWASP – eine Community, die Software-Tools und wissensbasierte Dokumentationen zur Anwendungssicherheit herausgibt. Siehe Wiki-Seite .
  • WhatWeb – Webscanner der nächsten Generation zur Identifizierung von Technologien, die eine Website antreiben, SQL-Fehler und mehr.

Proxys

  • Der OWASP Zed Attack Proxy (ZAP) - hilft Ihnen, Sicherheitslücken in Ihren Webanwendungen automatisch zu finden (siehe Wiki -Seite).
  • ratproxy - ein halbautomatisches, weitgehend passives Sicherheitsaudit-Tool für Webanwendungen.
  • Paros - Proxy zur Bewertung der Schwachstelle von Webanwendungen.
  • Fiddler mit x5s-Erweiterung zur Unterstützung von Penetrationstestern beim Auffinden von XSS-Schwachstellen oder Watcher (passiver Web-Sicherheitsscanner).

SQL-Injektion

Siehe: OpenSource-Sicherheits-Scan-Tools für REST-APIs

PHP

Informationen zu PHP-Malware-Scannern finden Sie unter: Malware-Scanner für Website-Code?

Testen eines Servers auf Sicherheitslücken
AntwortenHierDatenschutz-Bestimmungen1y, 0v