base de datos de URL utilizadas por las herramientas de penetración

Question

base de datos de URL utilizadas por las herramientas de penetración

#1 de atdre (1 votos)
#2 de schroeder (0 votos)

2

Cuando alguien está utilizando una herramienta de prueba de penetración en mi sitio, a veces puedo averiguar qué herramienta es esa mirando las cadenas de agente de usuario en los registros. Pero a veces no puedo porque la herramienta utiliza un agente de usuario del navegador.

¿Hay una base de datos con patrones de URL comunes que utiliza cada herramienta de penetración?

Por ejemplo, aquí hay algunas URL para las que me gustaría saber qué herramienta se utilizó:

/server-info
/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.system:type%3DServer
/Account/Register.aspx?ReturnUrl=
/roller-ui/login.rol?pageTitle=${new%20java.lang.Integer(100244%2b99553)}
/solr/select/?q=test

penetration-test

pregunta cherouvim 05.12.2014 - 11:39

fuente

2 respuestas

Lea otras preguntas en las etiquetas penetration-test

"Cuál es mi IP" muestra un resultado diferente cuando se ejecuta en https que en http [cerrado] ¿Por qué los autenticadores populares de dos factores usan claves compartidas

score 1 · Answer 1

En todos sus ejemplos, esos URI pueden (o, bueno, deberían) ser alcanzados por todas las herramientas de prueba de penetración. La mayoría de las herramientas, como los escáneres de seguridad de aplicaciones web (y con frecuencia incluso los proxies de seguridad de aplicaciones web) implementan un rastreador (a veces llamado araña).

Los rastreadores realizan la extracción de enlaces. La extracción de enlaces se puede comparar mediante una herramienta como WIVET . Algunas herramientas realizan el envío automático de formularios o utilizan la inyección de fallas. A veces puede firmar herramientas de prueba de penetración basadas en esta última información. Como ejemplo, Burp Suite envía formularios que a menudo contienen el nombre Peter Wiener .

No subestimes el poder de los adversarios para negarte o engañarte. La identificación de armas militares es una práctica militar común llamada TECHINT . Podría ser que un adversario quiera que pienses que está ejecutando una determinada herramienta cuando no lo está haciendo, y podría ser que estén notando que las defensas están cambiando a block su herramienta específica, por lo que una respuesta adversa normalmente sería cambiar las cosas, es decir, usar diferentes herramientas.

ACTUALIZACIÓN (después de los comentarios del interrogador sobre por qué y al mismo tiempo que revisa su lista):

Basado en el ataque URI de roller-ui, esto se basa en un exploit para Apache Roller que se basa en la inyección de OGNL ( CVE- 2013-4212 ). El exploit fue escrito para Metasploit, pero basado en algunos de los otros ataques, como el Solr select check , no puedo concluir que Metasploit se usó contra su sitio web. Parece que puede ser una herramienta personalizada. Extrañamente, la vulnerabilidad de JBoss jmx-console / HtmlAdaptor parece ser CVE-2007-1157 , pero eso es una comprobación extraña de CSRF en comparación con las otras que están orientadas a la ejecución remota de código.

SEGUNDA ACTUALIZACIÓN: según las siguientes dos publicaciones de blog, puedo llegar a la conclusión de que Acunetix comprueba / solr / select, / server-info y /Account/Register.aspx?ReturnUrl:

score 0 · Answer 2

No va a haber una 'base de datos' para esto porque es posible modificar los parámetros de búsqueda predeterminados o crear los propios.

En el mejor de los casos, es probable que una consulta del motor de búsqueda muestre a otras personas que buscan entender las mismas entradas de registro.

Por otra parte, si desea saber qué es lo que los scanners de aplicaciones web gratuitas encuentran de forma predeterminada, siempre puede ejecutar esos scanners gratuitos usted mismo.