Categories: Hacking

Обзор сканеров уязвимостей сайта

Количество сканеров, представленных на рынке сегодня, просто огромно. Среди них как и узкоспециализированные под какую-то одну багу или технологии, так и серьезные монстры, способные найти уязвимость, раскрутить ее и вытащить необходимые данные. Есть как платные, так и распространяемые под свободными лицензиями. И те и другие имеют право на жизнь, и кто из них лучше — это еще вопрос. Любой сканер, к сожалению (а может, и к счастью), неспособен реально оценить положение вещей, он не может с точностью до байта сказать, что в этом участке кода спрятана уязвимость. Именно поэтому многие не сильно доверяют сканерам или же делают ими лишь поверхностный анализ.

Metasploit — думаю, что этот монстр не нуждается в представлении.

Включен практически во все хакерские дистрибутивы, а в широко известном Kali так вообще входит в топ-10 самого распространенного софта, и, поверь, не просто так. Огромная база эксплоитов и возможностей поистине внушает уважение. Этим инструментом можно хакать практически что угодно. Имеет консольный интерфейс, но при желании легко прикручивается GUI, который делает Metasploit еще более привлекательным для использования.

W3af — весьма интересный сканер с кучей фишек, написан на питоне и позволяет допилить или переписать любой нужный тебе плагин.

Изначально плагинов довольно много, и они настроены по умолчанию. В зависимости от их параметров сканер будет работать лучше или хуже. После окончания сканирования есть возможность проэксплуатировать найденные баги. Также есть консольный интерфейс и GUI. Довольно мощная документация и поддержка сообщества.

Acunetix. Тоже весьма интересный сканер, работает на платформе Win, платный, но сам знаешь где можно найти старенькие крякнутые версии.

Им очень удобно сканить целые диапазоны айпишников или доменов. Рисует красивые отчеты. С каждой новой версией дополняется различными приятными фичами и возможностями. Имеет весьма красивый интерфейс, а разобраться с ним проще простого. К сожалению, имеет слишком большое количество ложных срабатываний. Но для общей картины в массах весьма хорош, дабы пройтись по топ-10 OWASP.

Burp Suite на самом деле не совсем сканер, хотя, конечно, в платной версии это есть и весьма успешно работает.

Но чаще всего этот инструмент используется для модификации запросов к серверу или изучения ответов сервера. Есть разные расширения, как тот же спайдер, который найдет все страницы ресурса или поможет декодировать какую-то едкую строку в нужную кодировку. Также в Сети разбросаны различные самописные плагины, не говоря уже о том, что можно написать и самому. Словом, инструмент, практически незаменимый в повседневной работе.

Click to rate this post!
[Total: 2 Average: 5]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

View Comments

  • Ещё есть весьма крутые сервисы вроде pentest-tools.com и metascan.ru для проверки уязвимостей. Не десктопом единым!

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

12 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

12 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

12 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

12 месяцев ago