______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Sitadel – инструмент с открытым исходным кодом для поиска уязвимостей веб-приложений.
!!!Важно!!!
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни администрация портала не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Применение в корыстных целях карается законодательством РФ.

Sitadel — это сканер веб-приложений на основе python. Он гибок и имеет много различных вариантов сканирования. Он может получить полный «отпечаток» сервера и каталогов грубой силы, страниц администратора, файлов и т. д. Кроме того, он может искать атаки типа инъекции (slq, html, xss, rfi, ldap и многое другое), другие раскрытия информации и популярные уязвимости.

Установка Sitadel

Давайте сначала клонируем репозиторий из Github.

git clone https://github.com/shenril/Sitadel.git

После этого зайдите в папку и запустите скрипт установки в python3.

cd Sitadel/

python3 setup.py install

Запуск Sitadel

Для запуска sitadel просто введите следующую команду.

python3 sitadel.py

Давайте запустим сканер против уязвимого сервера, чтобы увидеть, какие данные мы вернемся. Основная команда сканирования довольно проста. Просто введите эту команду и сканирование начнется. Дайте ему некоторое время для завершения сценария.

python3 sitadel.py [target]

Сначала мы получаем некоторые основные данные о цели (параметры x-frame, заголовки, версия сервера). Затем он начинает сканирование веб-сайта. После этого сканер запускает несколько базовых атак на цель. Мы получили много различных результатов. Теперь мы можем искать их вручную для ложных срабатываний. В нашем примере мы видим, что наш сервер уязвим к HTML-инъекции и SQL-инъекции, что правильно, мы не получили ложных срабатываний для этого конкретного теста.

Sitadel очень гибок и прост в использовании. С другой стороны, вы получаете много данных в своем терминале, которые не очень полезны. На мой взгляд, я предпочитаю графические интерфейсы для сканирования веб-приложений, поскольку данные более организованы.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх