相信做渗透测试的兄弟们都晓得pangolin吧?大名鼎鼎的穿山甲--这个星球上SQL注入检测最好的工具之一。
我们知道pangolin的作者是中国黑客界的大牛zwell,在pangolin之后,又推出过一款名为jsky的WEB应用安全检测系统。当然,在网上您可以下载到pangolin和jsky的早期版本--因为,那时候,它们还都是免费发布的。
经过几年的不断发展,pangolin和jsky都成了商业版本。与国内外的WEB应用安全检测系统比起来,zwell大牛的作品也是有相当的特色。和zwell聊的时候,他也非常低调,是个埋头做技术的人。今天游侠安全网(www.youxia.org)收到了宇造诺赛(就是将jsky和pangolin商业化运作的公司)邮寄过来的加密狗,于是装上了jsky的最新版,下面游侠将这款优秀的WEB应用安全检测系统展现给大家!
依然在我的VMware安装一个Windows服务器操作系统,配置IIS,并放入一个有漏洞的网站,这样展示的时候效果好一些。虚拟机的IP地址是192.168.1.44,我修改了本机的hosts文件,将test.youxia.org映射到上面。
我们新建一个扫描,可以看到,现在可选项比以前丰富了许多:
可以加载扫描列表,可以扫描网段,还可以配置扫描虚拟主机。还可以设置“附加域”进行某个域详细信息的配置。比如*.youxia.org设置扫描,但是不扫描www.youxia.org这个子域。
至于虚拟主机,我们看看如何配置:
通过whois查询同一台服务器上的网站,这样在做渗透测试的时候会更加便捷。另外这个功能在别的WEB应用安全检测系统里面是没有的。
当然,我们这里仅需要直接在URL这里输入http://test.youxia.org就可以了,然后下一步。
爬虫配置这里,可以设置线程、URL大小写等,亦可通过正则表达式进行URL等的过滤,亦可排除某些文件类型,如。mp3之类。
扫描策略这里,我们看到,常见的WEB应用安全漏洞都全了,我默认选择的全部。
下一步后,如果是SSL登陆可以设置证书等,如果是会员制需要注册的网站,可以选择保存登录信息。完成后点“扫描”就开始干活了。
经过一段时间的等待(这个时间取决于你网站的规模、网速、服务器的响应速率等),扫描完成!
主界面左侧,是jsky抓取到的网站结构,目录、文件、图片、js等……左下是脆弱性分布图,比较直观的,红色是高危级别。右上侧是漏洞信息,包括漏洞类型,包含漏洞的URL,右侧下方有“参数列表、预览、头信息、结构信息、HTML”几个选项。
当然,如果你选择了某个具体的URL,会提示该WEB应用漏洞详情:
当然,我们现在扫描完毕,可以查看下我们的安全报告。jsky支持导出几种报表:测试、执行概要、开发者、详细。下面是预览报告的界面,可以确认整个网站的风险等级、威胁统计,当然会有漏洞的测试URL、建议解决方案等详细信息。
报告可以导出为PDF、HTML、RTF等多种格式,也比较便捷。
如果您以为jsky的能力到此结束,就错了。我们在漏洞标签下看看,寻找一个有SQL注入漏洞的页面,鼠标右键看看可以做什么?
选择渗透测试,看到什么了?很熟悉的界面!
对!的确是pangolin!新版本的jsky直接把pangolin集成到了主界面,并且不用再选择“开始”,就自动开始进行渗透测试。这里就不多说了,搞渗透测试的兄弟们都明白!
pangolin也是游侠常用的验证sql注入漏洞的工具,网上您可以下载到早期的免费版本, 可以和其它的sql注入工具对比下,效果还是很不错的。
当然,jsky也包含其它的一些模块,如下图所示:
因这个比较容易理解,就不赘述了。
jsky可以很好的配合您做web应用安全检测,即使您只是安全新手,也能快速评估一个web应用程序的安全性。
就给大家介绍到这里,感谢诺赛科技提供jsky专业版给游侠安全网(www.youxia.org)测试。