• 網路安全測試幾個實用的資源與工具

    這篇文章主要介紹幾種實用資訊安全測試的工具與網路資源,

    • 如何搜尋相關漏洞與工具
    • 如何輸入測試 XSS
    • 如何檢查 Linux 是否有權限安全問題
    • 如何取得更多測試資料以輔助 Web測試工具
    • 駭客使用的密碼測試檔案

    找出特定關鍵字相關的漏洞與工具? SearchSploit

    一般來說, 我們可以透過下列的網路資源查詢相關的漏洞資訊, 並且下載相關的工具進行測試

    http://www.securityfocus.com/bid

    http://www.exploit-db.com/

    另外, 也可以透過這個工具 SearchSploit , 指令模式下, 會列出指定關鍵字可以找的的所有相關漏洞與工具

    這個工具為 KaliLinux中的一個工具, 也可以透過下列方式下載

    https://github.com/offensive-security/exploit-database/blob/master/searchsploit

    例如, 我們想知道 Joomla 的相關漏洞與工具, 執行結果如下

     

    場景: 安全測試中需要用到的測試資料 SecList

    進行網站安全測試時, 測試工具需要測試資料進行測試, 測試資料如 XSS, SQLi, username, password, Directory list等等

    這些測試資料通常工具會提供部分定義好的樣板, 除此之外還有哪些網路資源可以利用? 這裡介紹兩個資源

     

    SecList

    seclists.png

    https://github.com/danielmiessler/SecLists

    https://github.com/danielmiessler/SecLists/blob/master/README.md

    FuzzDB

    https://github.com/fuzzdb-project/fuzzdb

    Linux越權環境檢查 – LinEnum

    這裡介紹一個工具 LinEnum, 這個工具會檢查 Linux整體環境是否有相關的權限可疑問題

    http://www.rebootuser.com/

    https://github.com/rebootuser/LinEnum

    另外,  這個工具也可以用來針對特定關鍵字搜尋. 可以透過這樣搜尋密碼是否存放在設定檔案或是日誌中

    linenum

    Linux 越權相關指令整理

    http://www.rebootuser.com/?p=1623#.V4rjcut9600

    密碼字典檔案

    這個檔案主要用來測試環境中是否有已知或是強度不夠的密碼

    • http://downloads.skullsecurity.org/passwords/rockyou.txt.bz2
    • https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
    • https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
    • (http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashedpasswords)
    • http://bit.ly/KrTcHF
    • https://xato.net/passwords/ten-million-passwords/
    • ● https://github.com/danielmiessler/SecLists/tree/master/Passwords
      ● https://archive.org/details/pastebinpastes
      ● https://wiki.skullsecurity.org/Passwords
      ● http://www.leakedin.com/tag/emailpassword-dump/

    XSS  測試資料

    針對 XSS 測試, 以及XSS 如何逃避偵測, 可以參考下列完整範例

    https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#Introduction

    Posted by Tony @ 10:05 am

  • Leave a Reply

    Your email address will not be published.