>
Сентябрь 2017
Пн Вт Ср Чт Пт Сб Вс
« Авг    
 123
45678910
11121314151617
18192021222324
252627282930  

Как провести пентест одностраничного сайта

Не редко перед специалистами по безопасности ставиться задача провести пентест одностраничного сайта. Данные сайты просты, и на первый взгляд не имеют проблем с безопасностью, но это не так. Для их проверки необходимо выбирать правильные инструменты. Одним из них является Htcap.

Htcap — это сканер веб-приложений, который умеет обходить (crawl) одностраничные приложения (SPA, single page application) рекурсивным способом, перехватывая AJAX-вызовы и изменения DOM. Можно сказать, что htcap — это не просто сканер, поскольку он сосредоточен главным образом на обходе приложения и использовании сторонних инструментов для обнаружения уязвимых мест. Может применяться как для ручной проверки, так и для автоматической пpи тестах на проникновение современных веб-приложений.

Сканирование разделено на два этапа:

  1. Обход цели и сбор как можно большего числа запросов (URLs, forms, AJAX и другие) и сохранение их в БД SQLite.
  2. Запуск сканеров на запросы, сохраненные в базе данных.

А дальше результат сканирования можно просматривать с помощью любого просмотрщика SQLite.

Пример запуска на обход приложения:

Для запуска необходимо соблюсти несколько зависимостей:

  • Python 2.7;
  • PhantomJS v2;
  • sqlmap (для sqlmap-модуля сканирования);
  • Arachni (для Arachni-модуля сканирования).

URL: https://github.com/segment-srl/htcap
Система: Linux

Share Button
[Всего голосов: 8    Средний: 3.6/5]

Вам может быть интересно также:

Last updated by at .

Leave a Reply

You can use these HTML tags

<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">