Ich suche ein gutes Tool (Software oder Webdienst), das einen Windows-Webserver auf mögliche Schwachstellen überprüfen kann. Je mehr desto besser. (Überprüfung von außen, durch eine gegebene IP-Adresse, aber möglicherweise auch von innen.)
Ich sehe, dass es viele Webdienste gibt, aber:
Das De-facto-Tool dafür ist Metaploit . Es unterstützt derzeit 1200 Exploits, von denen etwa 900 auf Windows zutreffen.
Normalerweise führen Sie Metasploit von einem Kali-Linux über die Metasploit-Konsole aus msfconsole
. Von dort aus haben Sie use
einen Exploit, set
ein Ziel, eine set
Nutzlast und exp
loit es.
Unverzichtbare Ressource: der SANS Metasploit-Spickzettel
Metasploit (die Kommandozeilenversion, mit den Bezahlversionen habe ich keine Erfahrung) ist nicht selbsterklärend, man könnte also einen Online-Kurs belegen, z. B. Penetration Testing und Ethical Hacking mit Kali Linux bei Pluralsight (es gibt eine kostenlose Testversion, die ausreichen sollte). um dieses anzuschauen).
Beachten Sie, dass die Standard-Downloadseite [1] nur zwischen der Community-Edition und der Pro-Version unterscheidet, aber wenn Sie sich die Editionsseite [2] ansehen, gibt es auch die „Framework“-Edition, das ist das von Sicherheitsanalysten verwendete Befehlszeilentool und veröffentlicht als Open Source (BSD-Lizenz).
Wenn Sie das .tar.bz2
Archiv extrahieren, stellen Sie sicher, dass Ihr Virenscanner ausgeschaltet ist oder das Verzeichnis ausschließt, in das Sie extrahieren, da der Virenscanner sonst viele der Dateien unter Quarantäne stellt, da sie als Bedrohung bekannt sind.
Web-Penetrationstest-Tools (Scanner/Crawls):
Nicht mehr gepflegt:
Kommerziell:
Andere:
Siehe: OpenSource-Sicherheits-Scan-Tools für REST-APIs
Informationen zu PHP-Malware-Scannern finden Sie unter: Malware-Scanner für Website-Code?
Markus Büffel
RockPaperLz- Maskiere es oder Casket
Thomas Weller
Huey
Benutzer14394