Acunetix – Escaniar paginas web em busca de vulnerabilidades que possibilitem a invasão

scanner de site, em busca de vulnerabilidades. O scanner procura falhas críticas e leves, entre os ataques que ele verifica se o site está vulnerável estão: Ddos, sql injection, php injection entre outros. É utilizado tanto por crackers quanto desenvolvedores de site para verificar eventuais falhas. No caso dos desenvolvedores, para corrigi-las, enquanto os crackers, para aproveitá-las e efetuar uma invasão.

Tela inicial do Scanner de Vulnerabilidades Web

 

 

 

 

 

 

 

 

 

 

 

 

Antes de tudo devemos atualizar sua base de dados com as vulnerabilidades, pois o Scanner possue atualizações para manter sempre as vulnerabilidades em dia e com isso poder oferecer maior confiança na sua varredura.

Após clicarmos em Help > Check for updates irá aparecer a tela abaixo, clique em Download and install updates

Após clicar em Download and install updates você poderá acompanhar o download com a barra de progresso como mostra abaixo.

Ao concluir a atualização a mensagem abaixo aparece:

Vamos começar pelo mais importante a opção Web Scanner

Abaixo apresento algumas opções de Scanner

Algumas vulnerabilidades acima já é conhecido pela galera que gosta de desenvolver e se preocupam com a entrada de dados de seus formulários.

Deixando a opção em default, irá fazer todo scan disponível na imagem acima. Podendo fazer também a varredura de vulnerabilidades em AJAX e de Web 2.0. Para isso configure as opções abaixo:

Veja o resultado de um início de Scanner

Olha opção é ver a página, codigos e suas referências. Veja o exemplo do Scan de 30 segundos no Orkut. Lembrando novamente, não façam Scan para evitar problemas. Teste localmente e em suas aplicações.

Repare que o Scanner lista até as pastas não existentes, pois algum arquivo faz referência a essas pastas, porem não existem. Na barra de ferramentas em vermelho você pode ver as referências que são feitas ao arquivo acima em azul faz e até mesmo ver seu fonte como mostro na imagem abaixo.

Bom o Acunetix possue diversas opções de Scanner entre elas as listas abaixo:

1. Site Crawler > Lista todas as pastas e artivos do seu sitetendo as mesmas opções da imagem acima, ver códigos, referências e outros, além claro de listar arquivos Not Found.
2. Target finder > Scanneia uma classe de IP, repare que o Scan vai de 192.168.0.1 até 192.168.0.30

3. HTTP edidor > Lista todo o fonte do site scanneado.
4. HTTP snnifer > Captura os pacotes da rede.
5. HTTP fuzzer > Mais uma opção de Scanner
6. Authentication tester > Ataque mais comum de força bruta, tentativa erro com login e senha.

Bom pessoal, o objetivo desse artigo é somente fazer com que você possa fazer testes em suas aplicações Web com as vulnerabilidades mais comuns como SQL Injection e PHP Injection.

Gostaria de lembrar mais uma vez que não me responsabilizo pelo mal uso do programa e aviso que não é legal ficar scanneando sites e servidores sem uma prévia autorização para testes.

Ao fazer um Scan, uma quantidade grande de pacotes são enviados ao destino e o mesmo poderá entender como uma tentativa de ataque, por isso teste somente em http://localhost/site com isso você verifica seus bugs e evita problemas.
Pra quem quiser um video tutorial do Acutinex, aconselho vcs a verem este daqui: http://www.ask-pc.com/album/acun/demo/acunetix.html

Ou este aqui: http://www.videolog.tv/ricmessi/videos/532917

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s