ابزار Fierce

ابزار Fierce یک برنامه سرشماری DNS می باشد که از تکنیک های گوناگون بهره گرفته تا همه آدرس های آیپی و اسامی میزبان هدف را پیدا کند. این ابزار برای رسیدن به هدف خود ابتدا سرور DNS سیستم شما را کوئری می کند سپس سرور DNS سیستم هدف را کوئری می کند. همچنین از لیست کلمات ارایه شده توسط شما پشتیبانی می کند. از این لیست به منظور پیداکردن اسامی زیردامنه ها بهره می گیرد. این کار را به صورت بازگشتی انجام داده تا همه آیتم های موجود در لیست کلمات تست شوند.

ابزار Skipfish

ابزار Skipfish یک اسکنر امنیتی ریکان اپلیکیشن وب می باشد و توسط Michal Zalewski توسعه یافته است. ابزار Skipfish یک وبسایت را اسکن کرده و سپس گزارشی حاوی نقشه سایت تعاملی ایجاد می کند. در این آزمایش نحوه اسکن سایت با استفاده از اسکنر امنیتی Skipfish را آموزش می دهیم.






ابزار DyMerge

ابزار DyMerge یک وسیله قدرتمند در عین حال بسیار ساده می باشد که به زبان برنامه نویسی پایتون توسعه یافته است. ابزار DyMerge چندین لیست کلمات را از شما دریافت کرده و آنها را به یک دیکشنری پویا تبدیل می کند که با استفاده از آن می توان حملات مبتنی بر دیکشنری یا بروت فورس را پیاده سازی کرد. ابزار Dymerge با پایتون نسخه ۲.۶ و ۲.۷ سازگاری دارد. این ابزار توسط Nikolaos Kamarinakis توسعه یافته است.






ابزار paros

ابزار paros یک اسکنر امنیتی وب و پروکسی وب می باشد که بر مبنای زبان برنامه نویسی جاوا توسعه یافته است. این پروکسی مبتنی بر HTTP/HTTPS می باشد. ابزار paros ویرایش و نمایش پیام های HTTP را در لحظه پشتیبانی می کند. از دیگر ویژگی های ابزار paros اسکنر , ایجاد گواهینامه سمت کلاینت (برای https) , زنجیره پروکسی و حتی اسکن آسیب پذیری هایی همچون XSS و تزریق اسکیوال می باشد. Paros پروژه ای فوق العاده هست ولی متاسفانه سال هاست که بروزرسانی نشده است. هرچند یک نسخه Fork از آن در پروژه OWASP ZAP به صورت فعال در حال توسعه می باشد.






ابزار Golismero

ابزار Golismero یک اسکنر امنیتی وب می باشد که توسط Mario Vilas توسعه یافته است و از طریق آدرس https://github.com/golismero در گیت هاب قابل دسترسی , دانلود و استفاده می باشد. Golismero یک فریم ورک امنیتی می باشد که دارای اسپایدر , اسکنر و .. می باشد و آن را چاقوی وب می نامند.






ابزار Dirb

ابزار dirb یک اسکنر وب می باشد که عناصر مخفی و غیرمخفی وب را بازگشت می دهد. این ابزار توسط Dark Raver توسعه یافته و از طریق آدرس http://dirb.sourceforge.net/ قابل دسترسی, دانلود و استفاده می باشد. ابزار dirb اسکنری است که به جستجو آدرس های مخفی URL می پردازد. یافتن این عناصر در فرایند تست نفوذ وب به شما کمک شایانی خواهد کرد. این ابزار مثل دیگر ابزارهای جستجو و بروت فورس دایرکتوری از طریق لیست کلمات عمل می کند. در این آزمایش نحوه کار با ابزار Dirb را به صورت عملی آموزش می دهیم.






اسکن انبوه با ابزار fimap

اسکن انبوه fimap چیست؟ در آزمایش قبلی نحوه اسکن و بکارگیری آسیب پذیری درج فایل توسط ابزار fimap را آموزش دادیم. اکنون می خواهیم یک اسکن کامل بر روی وبسایت با ابزار fimap را پیاده سازی کرده تا لینک ها را استخراج کرده و آنها را ذخیره کرده تا برای ویژگی اسکن انبوه قابل استفاده باشند. در این بخش به شرح اسکن انبوه fimap می پردازیم.






ابزار fimap

ابزار fimap یک برنامه سریع با استفاده آسان می باشد که به جستجو باگ های LFI و RFI می پردازد. ابزار fimap نه تنها به جستجو آسیب پذیرهای درج فایل پرداخته بلکه در صورت کشف آسیب پذیری, امکان بکارگیری به هدف و دسترسی به شل را فراهم می کند. در این آزمایش ما از سیستم آسیب پذیر OWASPbwa و اپلیکیشن آسیب پذیر Multillidae برای تست استفاده می کنیم.






مدیریت هکرها

هر کسی که یک اپلیکیشن وب طراحی می کند و اپلیکیشن وی به صورت ریموت قابل دسترسی است و امنیت دسترسی از اهمیت بالایی برای وی برخوردار است بایستی یک فرض ساده داشته باشد. وی بایستی فرض کند که اپلیکیشن وب به صورت اختصاصی توسط هکرهای حرفه ای مورد هدف و حمله قرار خواهد گرفت. …

رویکردهای مدیریت ورودی کاربر

رویکردهای مختلفی به منظور مدیریت ورودی کاربر ایجاد شده اند. در موقعیت های مختلف رویکردهای گوناگون انتخاب می شوند . این موضوع وابسته به نوع ورودی می باشد و گاها ترکیبی از دو یا چند رویکرد مختلف کارساز خواهد بود . در این مطلب به معرفی انواع مختلف رویکردهای موجود برای مدیریت ورودی کاربر در …

مدیریت دسترسی کاربر

مدیریت دسترسی کاربر شامل چه مواردی می شود؟ یکی از نیازهای اصلی امنیت که هر اپلیکیشن وب به آن نیاز دارد , کنترل دسترسی کاربران به داده ها و عملکردهای ارایه شده توسط اپلیکیشن وب می باشد. چنین موقعیتی ما را به سمت دسته بندی کاربران مختلف سوق می دهد. کاربران ناشناس , کاربران احرازهویت …