Отражение хакерской атаки — одна из важнейших обязанностей системного администратора. Это особенно необходимо для веб-сайтов, содержащих конфиденциальную информацию о клиентах и большого количества пользователей. Поэтому системному администратору важно принимать превентивные меры по поиску и устранению уязвимостей на своих веб-сайтах.
Одним из инструментов, который может сканировать веб-сайты на наличие уязвимостей безопасности, является сканер уязвимостей Vega. Это бесплатное программное обеспечение для веб-тестирования с открытым исходным кодом, разработанное охранной компанией Subgraph. Этот инструмент имеет некоторые интересные функции, такие как прокси-сканер, но статья будет сосредоточена на аспекте автоматического тестирования безопасности, который может помочь найти и проверить уязвимости SQL-инъекций, межсайтового скриптинга (XSS) , случайного раскрытия конфиденциальной информации и многих других уязвимостей.
Существуют аналогичные Vega сканеры веб-приложений, такие как Burp Suite Scanner от Portswigger и Security Scanner от Netsparker, оба из которых имеют расширенные сканеры уязвимостей, но сканер Vega может выполнять многие из тех же задач, что совершенно бесплатно. Сканер Vega помогает находить и понимать серьезность уязвимостей веб-приложений, четко и кратко отображая полезные ресурсы при каждом сканировании.
Как использовать Vega для сканирования веб-сайтов на наличие уязвимостей безопасности
Поскольку сканер уязвимостей Vega обычно предустановлен в большинстве версий Kali Linux, вам следует использовать систему Kali. Если вы не уверены, установлена ли в вашей системе Kali Vega, вы можете запустить команду apt-get, как показано в окне терминала ниже. Пользователь получит сообщение о том, что оно установлено, если оно установлено, а если нет, используйте эту команду для установки.
apt-get update && apt-get install Vega
Если вы используете BlackArch, вы можете установить сканер уязвимостей Vega с помощью команды ниже. BlackArch не использует менеджер пакетов APT, поэтому пользователям следует использовать Pacman.
pacman -С вега
В Kali Linux инструменты автоматически распределяются по категориям, поэтому нажмите « Приложения », затем наведите курсор на категорию « Анализ веб-приложений » и нажмите « Вега ». В зависимости от использования версий Kali, таких как XFCE, меню «Приложения» может выглядеть немного иначе. Вы также можете просто выполнить поиск « Веги » на экране « Показать приложения » .
После первого запуска приложения следует просмотреть доступные опции. В левом верхнем углу нажмите меню « Окно », затем посмотрите « Настройки ».
Если вы хотите анонимно сканировать Vega и проксировать все соединения, выберите опцию « Включить прокси SOCKS » в разделе «Общие» и введите адрес и порт прокси. Если вы используете Tor, введите адрес и порт Tor по умолчанию (127.0.0.1:9050). Это поможет скрыть источник сканирования. Если вы используете бесплатный или платный прокси-сервис, выберите нужный адрес и порт.
Если вы решите сканировать Vega через Tor, вы также можете рассмотреть возможность изменения пользовательского агента Vega на пользовательский агент браузера Tor. Это поможет пользователям получить доступ к некоторым (но не всем) сайтам, которые блокируют HTTP-запросы Tor.
Чтобы изменить пользовательский агент Vega, щелкните категорию « Сканер » и введите пользовательский агент Tor Browser рядом с User-Agent, затем нажмите « Применить » и « ОК », чтобы сохранить изменения. Ниже приведен текущий пользовательский агент Tor Browser по состоянию на февраль 2018 года.
Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
Пользовательский агент Tor Browser будет меняться с каждым крупным обновлением Tor Browser. Чтобы найти последнюю версию пользовательского агента, откройте последний браузер Tor и введите about:config в строке URL. Если вы видите предупреждение, выберите « Я принимаю риск », затем введите useragent.override в строке поиска.
Двойной щелчок по отображаемой записи позволяет пользователю скопировать строку пользовательского агента. Альтернативно вы также можете щелкнуть правой кнопкой мыши и выбрать « Копировать ».
Еще одна вещь в меню «Сканер», которую пользователи могут захотеть изменить, — это параметр «Максимальное количество запросов в секунду для отправки» . По умолчанию программное обеспечение настроено на 25 запросов в секунду.
В зависимости от сценария этот запрос в секунду может быть слишком большим или слишком маленьким. Предполагая, что у вас есть разрешение на сканирование веб-сайта с помощью Vega, десять запросов в секунду, вероятно, будет хорошим числом для начала. Для ваших сайтов более подходящим может быть 100 запросов в секунду. Требуемая сумма полностью зависит от пользователя.
Вы не заметите увеличения вычислительной мощности при использовании большего количества запросов в секунду, поэтому можно безопасно установить это число выше. Vega не является инструментом DDoS, пропускная способность Интернета и пропускная способность веб-сайта автоматически уменьшают количество запросов.
Настройки прослушивателя в « Прокси » — это параметры, не связанные со сканерами. Опция « Отладка » в разделе «Сканер» предназначена для разработчиков Vega.
Теперь, когда Vega установлена и настроена, можно приступать к сканированию сайта. Чтобы начать сканирование, откройте меню « Сканировать » в левом верхнем углу и нажмите « Начать новое сканирование ». Появится окно «Выберите цель сканирования» , введите URL-адрес, который вы хотите сканировать, в поле под «Объект сканирования», затем нажмите « Далее ».
Vega имеет десятки модулей, предназначенных для поиска различных распространенных уязвимостей веб-серверов, таких как SQL, XSS и уязвимости внедрения XML. Если вы хотите включить все модули сканирования, просто выберите их все и нажмите « Готово », чтобы начать сканирование веб-сайта. Если нет, отмените выбор модулей, которые вас не интересуют при первом запуске.
Примечание. Если нет необходимости настраивать параметры аутентификации или параметры , просто выберите « Готово » после выбора модулей.
Это сканирование может занять от 2 до 8 часов в зависимости от размера сайта и ранее установленного количества запросов в секунду. Пользователи узнают, что сканирование началось, когда веб-сайт появляется на вкладке «Оповещения о сканировании» . После завершения сканирования вы получите подробный отчет об обнаруженных уязвимостях безопасности.
После завершения сканирования Vega представит четкую и краткую сводку предупреждений. Если Vega сообщает об уязвимостях «Высокого уровня», пользователям не нужно паниковать. Модули Vega очень чувствительны и иногда генерируют ложные срабатывания для уязвимостей, которых на самом деле может не быть. Иногда это не так уж и плохо. Поэтому вам следует просмотреть отчет и проверить каждое предупреждение вручную.
Vega отлично объясняет, что означает каждое предупреждение, как они влияют на сайт и как исправить уязвимости. Он также включает полезные ссылки, которые могут помочь пользователям лучше понять, как бороться с уязвимостями. Нажав на одно из предупреждений, вы увидите массу полезной информации.
Vega — отличный инструмент, помогающий исследователям безопасности лучше понять оценки безопасности Pentest. Широкий выбор модулей позволяет даже новым пользователям глубже изучить потенциальные угрозы безопасности и оценить их серьезность для веб-сайтов. Всем, кто заинтересован в повышении безопасности веб-сайтов и совершенствовании своих навыков веб-хакинга, понравится Vega и ее простота использования.
Узнать больше:
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
