XAttaker – сканирование и автоматическое выявление уязвимостей на сайтах
XAttaker – сканирование и обнаружение уязвимостей в веб-ресурсах
XAttacker – это инструмент написанный на perl, способный сканировать и автоматически использовать уязвимости в веб-приложениях. Предоставляя целевой сайт инструменту, он автоматически обнаруживает «архитектуру» при использовании службы управления контентом (CMS) и пытается найти уязвимости на основе обнаруженной CMS. В настоящее время поддерживаются следующие CMS:
- WordPress,
- Joomla,
- Drupal,
- PrestaShop,
- LokoMedia.
Установка XAttacker на Kali Linux
XAttacker можно установить, клонировав настройку из репозитория Github, используя следующую команду:
git clone https://github.com/Moham3dRiahi/XAttacker.git
Процесс клонирования может запрашивать имя пользователя и пароль для продолжения. Другой способ получить этот инструмент – загрузить ZIP-файл из репозитория github и извлечь файлы. Распакованные файлы можно просмотреть, следуя загруженному каталогу папки XAttacker используя следующую команду. Папка должна содержать файл XAttacker.pl.
cd XAttacker-master
ls
Также вы можете установить Kali Linux на Windows 10.
Статья про Kali Linux 2018.1 и Kali Linux 2017.3.
Использование и сканирование скрипта XAttacker
Использовать XAttacker довольно просто. Прежде всего, сохраните целевой сайт(ы) в текстовом файле. На следующем шаге запустите инструмент, используя следующую команду:
perl XAttacker.pl
Вышеупомянутая команда запускает инструмент и просит выбрать один из двух вариантов в отношении списка веб-сайтов. Выберите подходящую опцию и укажите путь к файлу, содержащему целевые веб-сайты, созданные ранее. Для демонстрационных целей сайт был добавлен в файл с именем «mylist», сохраненный на рабочем столе.
Если целевой сайт использует поддерживаемою CMS, инструмент начинает изучать возможности использования веб-сайта на основе уязвимостей в предопределенном наборе ресурсов. Например, на веб-сайте WordPress инструмент ищет уязвимости в таких ресурсах, как плагины, формы, PHP-код и конкретные темы. Аналогично, в Drupal инструмент ищет уязвимости панели администратора. Если на целевом веб-сайте нет уязвимости, инструмент возвращается к первоначальному этапу.
Однако, если XAttacker обнаруживает уязвимость, он автоматически использует её, если злоумышленник решит это сделать. В частности, XAttacker может быть полезен для красных командных упражнений. То есть, для выявления проблем с собственным ресурсом для дальнейшего устранения неполадок.
XAttacker – выводы и мнение о скрипте
XAttacker – скрипт для выявления уязвимостей, который включает в себя довольно обширный список CMS и может дать много полезной информации. Единственный минус, который был замечен, то, что скрипт не всегда обнаруживает используемую CMS. Однако, он очень прост в использовании и дает возможность сканировать большой список сайтов, за что получает большой плюс.
Подписывайтесь на обновления сайта, а также на наш Telegram.
I¦ll right away take hold of your rss as I can not in finding your e-mail subscription link or newsletter service. Do you’ve any? Kindly allow me understand in order that I may just subscribe. Thanks.
Yes, it`s on the right sidebar on my web site, there are placeholder.