Взлом и проверка на уязвимости

Поиск уязвимостей в веб-приложениях — Tulpar

На данный момент существует множество инструментов для пентестинга, которые позволяют быстро сканировать веб-приложения и сайты на уязвимости.

Пентестиг или же тестирование на проникновение — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.

определение значения Penetration testing

Tulpar — это сканер уязвимостей с открытым исходным кодом, предназначенный для автоматизированного тестирования на проникновение. Он может обнаружить следующие проблемы безопасности, а также имеет несколько интересных возможностей:

  • Sql Injection (GET Method);
  • XSS (GET Method);
  • Crawl;
  • E-mail Disclosure;
  • Credit Card Disclosure;
  • Whois -Command Injection (GET Method);
  • Directory Traversal (GET Method);
  • File Include (GET Method);
  • Server Information;
  • Technology Information;
  • X-Content-Type Check;
  • X-XSS-Protection Check;
  • TCP Port Scanner;
  • robots.txt Check;
  • URL Encode;
  • Certification Information;
  • Available Methods;
  • Cyber Threat Intelligence;
  • IP2Location;
  • File Input Available Check.

Установка инструмента Tulpar

Tulpar — инструмент сканирования, который написан на языке программирования Python и так как он является проектом с открытым исходных кодом, его разместили на Github. Для того, чтобы установить Тулпар, нужно клонировать его с официального репозитория:

git clone https://github.com/anilbaranyelken/tulpar.git

Процесс клонирования Tulpar с официального репозитория.

Инструмент зависит от python-whois, futures, запросов и пакетов lxml. Чтобы установить эти пакеты, перейдите в каталог инструмента и запустите файл требований, как показано ниже:

cd tulpar
pip install -r requirements

Процесс установки зависимых пакетов

Запуск и использование Tulpar

Для запуска Тулпар необходимо выполнить следующую команду в терминале.

python tulpar.py

Атрибут <action> в приведенной выше команде — это функция сканера, такая как all, sql, xss, portscanner и fuzzing. На следующем снимке экрана показан полный список функций, которые можно добавлять в качестве атрибута.

Поиск уязвимостей в веб-приложениях — Tulpar

Можем использовать аргумент all для сканирования всего, что поддерживается инструментом.

python tulpar.py all testphp.vulnweb.com

Сканирование с помощью Tulpar

Также можем использовать инструмент для сканирования определенной уязвимости, такой как SQL, например, следующим образом.

python tulpar.py sql http://testphp.vulnweb.com/listproducts.php?cat=1

Если целевое веб-приложение уязвимо для внедрения SQL, инструмент показывает ряд полезных нагрузок, которые можно успешно внедрить для обнаружения ошибок базы данных в целевом веб-приложении.

Поиск уязвимостей в веб-приложениях — Tulpar

Точно так же можно использовать Tulpar для других вышеупомянутых целей сбора информации. Например, можем использовать Тулпар для сканирования активных портов в целевых веб-приложениях.

python tulpar.py portscanner testphp.vulnweb.com

Сканирование активных портов в веб-приложении

Заключение

Tulpar — это сканер веб-приложений с открытым исходным кодом, который может помочь в сборе информации и оценке уязвимостей.

Минусом данного инструмента является то, что при длительном сканировании или использовании различных типов сканирования он замедляется в работе и это действительно заметно.

Теги

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Related Articles

Один комментраций

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button