Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Отражение хакерской атаки — одна из важнейших обязанностей системного администратора. Это особенно необходимо для веб-сайтов, содержащих конфиденциальную информацию о клиентах и ​​большого количества пользователей. Поэтому системному администратору важно принимать превентивные меры по поиску и устранению уязвимостей на своих веб-сайтах.

Одним из инструментов, который может сканировать веб-сайты на наличие уязвимостей безопасности, является сканер уязвимостей Vega. Это бесплатное программное обеспечение для веб-тестирования с открытым исходным кодом, разработанное охранной компанией Subgraph. Этот инструмент имеет некоторые интересные функции, такие как прокси-сканер, но статья будет сосредоточена на аспекте автоматического тестирования безопасности, который может помочь найти и проверить уязвимости SQL-инъекций, межсайтового скриптинга (XSS) , случайного раскрытия конфиденциальной информации и многих других уязвимостей.

Существуют аналогичные Vega сканеры веб-приложений, такие как Burp Suite Scanner от Portswigger и Security Scanner от Netsparker, оба из которых имеют расширенные сканеры уязвимостей, но сканер Vega может выполнять многие из тех же задач, что совершенно бесплатно. Сканер Vega помогает находить и понимать серьезность уязвимостей веб-приложений, четко и кратко отображая полезные ресурсы при каждом сканировании.

Как использовать Vega для сканирования веб-сайтов на наличие уязвимостей безопасности

Шаг 1: Установите Вегу

Поскольку сканер уязвимостей Vega обычно предустановлен в большинстве версий Kali Linux, вам следует использовать систему Kali. Если вы не уверены, установлена ​​ли в вашей системе Kali Vega, вы можете запустить команду apt-get, как показано в окне терминала ниже. Пользователь получит сообщение о том, что оно установлено, если оно установлено, а если нет, используйте эту команду для установки.

apt-get update && apt-get install Vega

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Если вы используете BlackArch, вы можете установить сканер уязвимостей Vega с помощью команды ниже. BlackArch не использует менеджер пакетов APT, поэтому пользователям следует использовать Pacman.

pacman -С вега

Шаг 2: Запустите Вегу

В Kali Linux инструменты автоматически распределяются по категориям, поэтому нажмите « Приложения », затем наведите курсор на категорию « Анализ веб-приложений » и нажмите « Вега ». В зависимости от использования версий Kali, таких как XFCE, меню «Приложения» может выглядеть немного иначе. Вы также можете просто выполнить поиск « Веги » на экране « Показать приложения » .

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Шаг 3: Настройте Вегу

После первого запуска приложения следует просмотреть доступные опции. В левом верхнем углу нажмите меню « Окно », затем посмотрите « Настройки ».

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

HTTP-запрос Vega Proxy (необязательно)

Если вы хотите анонимно сканировать Vega и проксировать все соединения, выберите опцию « Включить прокси SOCKS » в разделе «Общие» и введите адрес и порт прокси. Если вы используете Tor, введите адрес и порт Tor по умолчанию (127.0.0.1:9050). Это поможет скрыть источник сканирования. Если вы используете бесплатный или платный прокси-сервис, выберите нужный адрес и порт.

Используйте пользовательский агент Tor (необязательно)

Если вы решите сканировать Vega через Tor, вы также можете рассмотреть возможность изменения пользовательского агента Vega на пользовательский агент браузера Tor. Это поможет пользователям получить доступ к некоторым (но не всем) сайтам, которые блокируют HTTP-запросы Tor.

Чтобы изменить пользовательский агент Vega, щелкните категорию « Сканер » и введите пользовательский агент Tor Browser рядом с User-Agent, затем нажмите « Применить » и « ОК », чтобы сохранить изменения. Ниже приведен текущий пользовательский агент Tor Browser по состоянию на февраль 2018 года.

Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Пользовательский агент Tor Browser будет меняться с каждым крупным обновлением Tor Browser. Чтобы найти последнюю версию пользовательского агента, откройте последний браузер Tor и введите about:config в строке URL. Если вы видите предупреждение, выберите « Я принимаю риск », затем введите useragent.override в строке поиска.

  • Советы «О программе: Config» улучшают браузер Firefox

Двойной щелчок по отображаемой записи позволяет пользователю скопировать строку пользовательского агента. Альтернативно вы также можете щелкнуть правой кнопкой мыши и выбрать « Копировать ».

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Средний HTTP-запрос (необязательно)

Еще одна вещь в меню «Сканер», которую пользователи могут захотеть изменить, — это параметр «Максимальное количество запросов в секунду для отправки» . По умолчанию программное обеспечение настроено на 25 запросов в секунду.

В зависимости от сценария этот запрос в секунду может быть слишком большим или слишком маленьким. Предполагая, что у вас есть разрешение на сканирование веб-сайта с помощью Vega, десять запросов в секунду, вероятно, будет хорошим числом для начала. Для ваших сайтов более подходящим может быть 100 запросов в секунду. Требуемая сумма полностью зависит от пользователя.

Вы не заметите увеличения вычислительной мощности при использовании большего количества запросов в секунду, поэтому можно безопасно установить это число выше. Vega не является инструментом DDoS, пропускная способность Интернета и пропускная способность веб-сайта автоматически уменьшают количество запросов.

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Настройки прослушивателя в « Прокси » — это параметры, не связанные со сканерами. Опция « Отладка » в разделе «Сканер» предназначена для разработчиков Vega.

Шаг 4. Сканируйте сайт с помощью Vega.

Теперь, когда Vega установлена ​​и настроена, можно приступать к сканированию сайта. Чтобы начать сканирование, откройте меню « Сканировать » в левом верхнем углу и нажмите « Начать новое сканирование ». Появится окно «Выберите цель сканирования» , введите URL-адрес, который вы хотите сканировать, в поле под «Объект сканирования», затем нажмите « Далее ».

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Vega имеет десятки модулей, предназначенных для поиска различных распространенных уязвимостей веб-серверов, таких как SQL, XSS и уязвимости внедрения XML. Если вы хотите включить все модули сканирования, просто выберите их все и нажмите « Готово », чтобы начать сканирование веб-сайта. Если нет, отмените выбор модулей, которые вас не интересуют при первом запуске.

Примечание. Если нет необходимости настраивать параметры аутентификации или параметры , просто выберите « Готово » после выбора модулей.

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Это сканирование может занять от 2 до 8 часов в зависимости от размера сайта и ранее установленного количества запросов в секунду. Пользователи узнают, что сканирование началось, когда веб-сайт появляется на вкладке «Оповещения о сканировании» . После завершения сканирования вы получите подробный отчет об обнаруженных уязвимостях безопасности.

Шаг 5: Интерпретируйте объявление Веги

После завершения сканирования Vega представит четкую и краткую сводку предупреждений. Если Vega сообщает об уязвимостях «Высокого уровня», пользователям не нужно паниковать. Модули Vega очень чувствительны и иногда генерируют ложные срабатывания для уязвимостей, которых на самом деле может не быть. Иногда это не так уж и плохо. Поэтому вам следует просмотреть отчет и проверить каждое предупреждение вручную.

Vega отлично объясняет, что означает каждое предупреждение, как они влияют на сайт и как исправить уязвимости. Он также включает полезные ссылки, которые могут помочь пользователям лучше понять, как бороться с уязвимостями. Нажав на одно из предупреждений, вы увидите массу полезной информации.

Как сканировать веб-сайты на наличие потенциальных уязвимостей безопасности с помощью Vega в Kali Linux

Vega — отличный инструмент, помогающий исследователям безопасности лучше понять оценки безопасности Pentest. Широкий выбор модулей позволяет даже новым пользователям глубже изучить потенциальные угрозы безопасности и оценить их серьезность для веб-сайтов. Всем, кто заинтересован в повышении безопасности веб-сайтов и совершенствовании своих навыков веб-хакинга, понравится Vega и ее простота использования.

Узнать больше:


Как очистить и сбросить кеш Microsoft Store в Windows 10

Как очистить и сбросить кеш Microsoft Store в Windows 10

Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.

Топ-10 лучших бесплатных программ-кейлоггеров для Windows

Топ-10 лучших бесплатных программ-кейлоггеров для Windows

Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.

8 способов открыть MSConfig в Windows 11

8 способов открыть MSConfig в Windows 11

Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.

Инструкция по настройке и использованию VPNBook на Windows

Инструкция по настройке и использованию VPNBook на Windows

VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.

Включить/отключить функцию встроенного автозаполнения в проводнике и диалоговом окне «Выполнить» в Windows 10.

Включить/отключить функцию встроенного автозаполнения в проводнике и диалоговом окне «Выполнить» в Windows 10.

Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!

6 способов получить доступ к меню параметров загрузки в Windows 10

6 способов получить доступ к меню параметров загрузки в Windows 10

Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.

Как запустить любое приложение с помощью кнопки «Удобство доступа» на экране входа в Windows 10

Как запустить любое приложение с помощью кнопки «Удобство доступа» на экране входа в Windows 10

Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.

Как изменить веб-камеру по умолчанию на компьютере с Windows 10

Как изменить веб-камеру по умолчанию на компьютере с Windows 10

Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.

9 способов открыть Блокнот в Windows 11

9 способов открыть Блокнот в Windows 11

Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.