WAES: Enumerasi Situs Web Cepat Dan Alat Pemindaian Untuk Peretas

  • Whatsapp
WAES: Enumerasi Situs Web Cepat Dan Alat Pemindaian Untuk Peretas

Tentang WAES: Sekilas tentang CPH:SEC WAES
Melakukan enumerasi HTB atau CTF lainnya terhadap target dengan HTTP(S) dapat menjadi hal yang sepele. Mungkin melelahkan untuk selalu menjalankan skrip/tes yang sama di setiap kotak, mis. Nmap, Nikto, Dirb dan seterusnya. Satu klik pada target dengan laporan otomatis datang memecahkan masalah. Selanjutnya, dengan skrip pencacahan proses dapat dioptimalkan sekaligus menghemat waktu bagi peretas. ini adalah apa CPH: SEC WAES atau Situs Web Otomatis Pencacahan Dan Pemindaian diciptakan untuk. WAES menjalankan 4 langkah pemindaian terhadap target (lihat lebih lanjut di bawah) untuk mengoptimalkan waktu yang dihabiskan untuk pemindaian. Sementara pemindaian multi-inti atau multi-utas dapat diterapkan, hampir pasti akan membuat kotak menggantung dan tidak diinginkan.

  • Dari versi saat ini dan seterusnya WAES akan menyertakan skrip instalasi (lihat pukulan) saat proyek bergerak dari fase alfa ke beta. 
  • WAES dapat dikembangkan dengan Python tetapi proyek Bash yang baik perlu mempelajari Bash. 
  • WAES saat ini dibuat untuk kotak CTF tetapi bergerak menuju penggunaan online (lihat bagian todo)

Instalasi dan Menjalankan WAES
Pastikan direktori diatur dengan benar di supergobuster.sh. Harus otomatis dengan Kali Linux dan Parrot Security OS.

Bacaan Lainnya

  • Direktori standar untuk daftar: SecLists/Discovery/Web-Content dan SecLists/Discovery/Web-Content/CMS 
  • Daftar direktori daftar kata Kali Linux dan Parrot Security OS:
    /usr/share/daftar kata/dirbuster/

Proses dan Cara Pencacahan WAES: 
Proses pemindaian dan enumerasi mencakup empat langkah:

  • Langkah 0 – Pemindaian pasif – (dinonaktifkan di versi saat ini):
       web apa – mode agresif

       OSIRA (penulis yang sama) – mencari subdomain
     
  • Langkah 1 – Pemindaian cepat
       wafw00 – deteksi firewall

       nmap dengan http-enum
  • Langkah 2 – Pindai – mendalam
       nmap – dengan skrip NSE: http-tanggal,http-judul,http-server-header,http-header,http-enum,http-devframework,http-dombased-xss,http-disimpan-xss,http-xssed,http-cookie-flags,http-kesalahan,http-grep,http-traceroute

       nmap dengan vulkanisir (CVSS 5.0+)

       nikto – dengan penghindaran A dan semua direktori CGI

       uniskana – semua tes kecuali stress test (qweds)
     
  • Langkah 3 – Fuzzing
    • supergobuster
      gobuster dengan banyak daftar

      dirb dengan banyak daftar
       
    • xss memindai (akan datang)

.. terhadap target saat membuang file hasil ke dalam melaporkan map.

Daftar tugas:

  • Terapkan domain sebagai input 
  • Tambahkan pemindaian XSS 
  • Tambahkan pemindaian SSL/TLS 
  • Tambahkan pemindaian domain 
  • Tambahkan golismero 
  • Tambahkan dirble 
  • Tambahkan bilah kemajuan 
  • Tambahkan deteksi CMS 
  • Tambahkan pemindaian khusus CMS

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *