網路安全測試幾個實用的資源與工具

網路安全測試幾個實用的資源與工具

這篇文章主要介紹幾種實用資訊安全測試的工具與網路資源,

  • 如何搜尋相關漏洞與工具
  • 如何輸入測試 XSS
  • 如何檢查 Linux 是否有權限安全問題
  • 如何取得更多測試資料以輔助 Web測試工具
  • 駭客使用的密碼測試檔案

找出特定關鍵字相關的漏洞與工具? SearchSploit

一般來說, 我們可以透過下列的網路資源查詢相關的漏洞資訊, 並且下載相關的工具進行測試

http://www.securityfocus.com/bid

http://www.exploit-db.com/

另外, 也可以透過這個工具 SearchSploit , 指令模式下, 會列出指定關鍵字可以找的的所有相關漏洞與工具

這個工具為 KaliLinux中的一個工具, 也可以透過下列方式下載

https://github.com/offensive-security/exploit-database/blob/master/searchsploit

例如, 我們想知道 Joomla 的相關漏洞與工具, 執行結果如下

 

場景: 安全測試中需要用到的測試資料 SecList

進行網站安全測試時, 測試工具需要測試資料進行測試, 測試資料如 XSS, SQLi, username, password, Directory list等等

這些測試資料通常工具會提供部分定義好的樣板, 除此之外還有哪些網路資源可以利用? 這裡介紹兩個資源

 

SecList

seclists.png

https://github.com/danielmiessler/SecLists

https://github.com/danielmiessler/SecLists/blob/master/README.md

FuzzDB

https://github.com/fuzzdb-project/fuzzdb

Linux越權環境檢查 – LinEnum

這裡介紹一個工具 LinEnum, 這個工具會檢查 Linux整體環境是否有相關的權限可疑問題

http://www.rebootuser.com/

https://github.com/rebootuser/LinEnum

另外,  這個工具也可以用來針對特定關鍵字搜尋. 可以透過這樣搜尋密碼是否存放在設定檔案或是日誌中

linenum

Linux 越權相關指令整理

http://www.rebootuser.com/?p=1623#.V4rjcut9600

密碼字典檔案

這個檔案主要用來測試環境中是否有已知或是強度不夠的密碼

  • http://downloads.skullsecurity.org/passwords/rockyou.txt.bz2
  • https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
  • https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
  • (http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashedpasswords)
  • http://bit.ly/KrTcHF
  • https://xato.net/passwords/ten-million-passwords/
  • ● https://github.com/danielmiessler/SecLists/tree/master/Passwords
    ● https://archive.org/details/pastebinpastes
    ● https://wiki.skullsecurity.org/Passwords
    ● http://www.leakedin.com/tag/emailpassword-dump/

XSS  測試資料

針對 XSS 測試, 以及XSS 如何逃避偵測, 可以參考下列完整範例

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#Introduction

Leave a Reply

Your email address will not be published.