Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

DiepNV88

VIP Members
24/09/2013
369
1.552 bài viết
Cài đặt sử dụng Acunetix Web Vulnerability Scanner.
Như tiêu đề bài viết với những bạn chưa biết về tool này nên đọc phần giới thiệu qua tại :

http://whitehat.vn/threads/4737-Acunetix-Web-Vulnerability-Scanner.html

Một list các lỗi mà Acunetix Web Vulnerability Scanner tìm ra để hiểu rõ hơn các lỗi này các bạn tham khảo các bài viết trên diễn đàn.

Bài viết này mang tính hướng dẫn sử dụng công cụ cho những bạn chưa biết sử dụng với các bạn pro rùi thì đọc cho vui :

Vâng với mình Acunetix Web Vulnerability Scanner là một công cụ kinh điển để kiểm tra các lỗi của một website.
Khi sử dụng tool này các bạn phải cân nhắc kỹ vì scan lỗ hổng bảo mật chính là một hình thức hack trực tiếp bằng
cách tiêm các đoạn mã kiểm tra được lập trình sẵn trong thanh công cụ.
Như vậy sẽ có hàng loạt truy vấn độc hại ( nói quá) tới website đang bị Acunetix Web Vulnerability Scanner quét tới.
Khi mình sử dụng scan một số website viết bằng ngôn ngữ java thì log weblogic xuất hiện rất nhiều lỗi ví dụ như:
too many open file...
Ngoài ra với các máy chủ apache ( có thể là hosting hay các VPS tự dựng) thì firewall iptables theo cơ chế sẽ block ip đang chạy phần mềm scan này và một số bạn sẽ ảo tưởng website đã die thực thế thì không phải.
Với một số website bảo mật cao admin theo dõi log họ sẽ hiểu lầm bạn đang tác động tới website họ nên có thể ip của bạn sẽ bị admin block hoặc lưu lại đưa cho nhà chức trách ( ví dụ c50 ).


Chém gió thế đủ rùi giờ mình xin bắt đầu bài viết:

Link down load bản Acunetix Web Vulnerability Scanner full có hướng dẫn crack update thoải mái:
Link mình tự up đảm bảo virut nhảy máy tính mình trước rùi mới up file sạch lên share:

http://www.mediafire.com/download/b...AN 100 % VERSION_free-4-free.blogspot.com.rar

Sau khi cài đặt các bạn update phiên bản mới nhất :

1490892973update acunetix.jpg


Thiết lập cấu hình proxy cho an toàn trước khi scan:

1490892973config proxy acunetix.jpg


Để hiểu rõ hơn về tool này bạn có thể tham khảo ngay phần help:

1490892973huongda su dung acunetix.jpg


Chương trình khi scan chiếm khá nhiều tài nguyên máy tính nên các bạn ưu tiên chạy mình nó thui.
Tạo một phiên scan mới:

1490892973new scan.jpg


Lựa tìm kiếm các lỗi muốn scan.Với mình để default:

1490892973lua chon loi scan.jpg


Với chế độ new login sequence bạn cần tạo một user để đăng nhập sau khi đăng nhập trên box này quá trinh scan sẽ tiếp cận được với như file cấm truy cập nếu không đăng nhập.Như vậy quá trình quét sẽ đầy đủ hơn.

1490892973login.jpg


Phần thiết lập new login sequence các bạn tự thiết lập.
Sau đó quá trình scan sẽ bắt đầu khá đơn giản trương trình sẽ hiển thị list các lỗi website mắc phải và cả cấu trúc của website qua đó các bạn sẽ biết website viết bằng ngôn ngữ gì, hoặc famework nào rất hữu ích.Nhưng để xem cấu trúc mà biết được thông tin website bạn phải có kinh nghiệm chứ tool nó không bảo website đang dùng mã nguồn gì đâu.
Do tính chất nhạy cảm của tool mình không demo website cụ thể nào cả .Ngoài ra chức năng khá tuyệt với của tool này là test các lỗ hổng .Ví dụ khi scan ra lỗi cho phép upload file lên server bạn chọn phần attack nó sẽ test thử và kết xuất ra mã java script để chứng mình lỗi đó nguy hiểm với cấp trên của bạn hoặc khách hàng.

1490892973attack.jpg


Nếu có vấn đề thắc mắc đội ngũ mod hay các thành viên khác trên diễn đàn sẽ giải đáp cho các bạn!
 
Chỉnh sửa lần cuối bởi người điều hành:
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

Bài viết này mang tính hướng dẫn sử dụng công cụ cho những bạn chưa biết sử dụng với các bạn pro rùi thì đọc cho vui

Mọi thứ đều bắt đầu từ những điều căn bản và pro cũng từ newbie mà thành :cool:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

Mình muốn viết thử 1 tool để kiểm tra xem liệu 1 website có bị dính lỗi: (1)SQL Injection, (2)XSS, hay không, bạn có thể gợi ý cách làm được k?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

nktung;10300 đã viết:
Mình muốn viết thử 1 tool để kiểm tra xem liệu 1 website có bị dính lỗi: (1)SQL Injection, (2)XSS, hay không, bạn có thể gợi ý cách làm được k?

khi bạn test lỗ hổng ứng dụng website bạn chèn các đoạn mã để kiểm tra vào các đối tượng texbox, seach, url...
Theo nguyên lí đó bạn code còn các đoạn mã kiểm tra bạn tham khảo các bài đọc với một coder thì các mã này sẽ linh hoạt hơn rất nhiều do bạn có kinh nghiệm lấp trình.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

Crack update lên build mới ko đc bạn ơi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

theheroofvn;12014 đã viết:
Crack update lên build mới ko đc bạn ơi
update thoải mái
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

[Error] Error loading Client Script Analyzer library. Javascript parsing will be disabled.
[Warning] Unable to initialize SSL. Certificate file not found.
[Warning] Unable to initialize SSL. Certificate file not found.

Máy mình khi cài xong, chạy chương trình thì bị như thế này, thế là thế nào hả các bác
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

DiepNV88;12016 đã viết:
update thoải mái
Download and Install Updates thì được mà Download and Install New Build thì ko được. Hình như phải cài bản 9 à?
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

theheroofvn;12084 đã viết:
Download and Install Updates thì được mà Download and Install New Build thì ko được. Hình như phải cài bản 9 à?
Mình vẫn dùng bản này và chưa có ý định thay đổi bạn có thể lên trang chủ down trực tiếp về cài.
http://www.acunetix.com/vulnerability-scanner/
Quan trọng là bạn biết kết hợp hài hòa tool với kiến thức để tìm ra các bug trên website.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Như tiêu đề bài viết với những bạn chưa biết về tool này nên đọc phần giới thiệu qua tại :

http://whitehat.vn/threads/4737-Acunetix-Web-Vulnerability-Scanner.html

Một list các lỗi mà Acunetix Web Vulnerability Scanner tìm ra để hiểu rõ hơn các lỗi này các bạn tham khảo các bài viết trên diễn đàn.

Bài viết này mang tính hướng dẫn sử dụng công cụ cho những bạn chưa biết sử dụng với các bạn pro rùi thì đọc cho vui :

Vâng với mình Acunetix Web Vulnerability Scanner là một công cụ kinh điển để kiểm tra các lỗi của một website.
Khi sử dụng tool này các bạn phải cân nhắc kỹ vì scan lỗ hổng bảo mật chính là một hình thức hack trực tiếp bằng
cách tiêm các đoạn mã kiểm tra được lập trình sẵn trong thanh công cụ.
Như vậy sẽ có hàng loạt truy vấn độc hại ( nói quá) tới website đang bị Acunetix Web Vulnerability Scanner quét tới.
Khi mình sử dụng scan một số website viết bằng ngôn ngữ java thì log weblogic xuất hiện rất nhiều lỗi ví dụ như:
too many open file...
Ngoài ra với các máy chủ apache ( có thể là hosting hay các VPS tự dựng) thì firewall iptables theo cơ chế sẽ block ip đang chạy phần mềm scan này và một số bạn sẽ ảo tưởng website đã die thực thế thì không phải.
Với một số website bảo mật cao admin theo dõi log họ sẽ hiểu lầm bạn đang tác động tới website họ nên có thể ip của bạn sẽ bị admin block hoặc lưu lại đưa cho nhà chức trách ( ví dụ c50 ).


Chém gió thế đủ rùi giờ mình xin bắt đầu bài viết:

Link down load bản Acunetix Web Vulnerability Scanner full có hướng dẫn crack update thoải mái:
Link mình tự up đảm bảo virut nhảy máy tính mình trước rùi mới up file sạch lên share:

http://www.mediafire.com/download/bb1xcrq61sc962l/Acunetix v8.0_full_CLEAN 100 % VERSION_free-4-free.blogspot.com.rar

Sau khi cài đặt các bạn update phiên bản mới nhất :

1490892973update acunetix.jpg


Thiết lập cấu hình proxy cho an toàn trước khi scan:

1490892973config proxy acunetix.jpg


Để hiểu rõ hơn về tool này bạn có thể tham khảo ngay phần help:

1490892973huongda su dung acunetix.jpg


Chương trình khi scan chiếm khá nhiều tài nguyên máy tính nên các bạn ưu tiên chạy mình nó thui.
Tạo một phiên scan mới:

1490892973new scan.jpg


Lựa tìm kiếm các lỗi muốn scan.Với mình để default:

1490892973lua chon loi scan.jpg


Với chế độ new login sequence bạn cần tạo một user để đăng nhập sau khi đăng nhập trên box này quá trinh scan sẽ tiếp cận được với như file cấm truy cập nếu không đăng nhập.Như vậy quá trình quét sẽ đầy đủ hơn.

1490892973login.jpg


Phần thiết lập new login sequence các bạn tự thiết lập.
Sau đó quá trình scan sẽ bắt đầu khá đơn giản trương trình sẽ hiển thị list các lỗi website mắc phải và cả cấu trúc của website qua đó các bạn sẽ biết website viết bằng ngôn ngữ gì, hoặc famework nào rất hữu ích.Nhưng để xem cấu trúc mà biết được thông tin website bạn phải có kinh nghiệm chứ tool nó không bảo website đang dùng mã nguồn gì đâu.
Do tính chất nhạy cảm của tool mình không demo website cụ thể nào cả .Ngoài ra chức năng khá tuyệt với của tool này là test các lỗ hổng .Ví dụ khi scan ra lỗi cho phép upload file lên server bạn chọn phần attack nó sẽ test thử và kết xuất ra mã java script để chứng mình lỗi đó nguy hiểm với cấp trên của bạn hoặc khách hàng.

1490892973attack.jpg


Nếu có vấn đề thắc mắc đội ngũ mod hay các thành viên khác trên diễn đàn sẽ giải đáp cho các bạn!


Mình cũng đang rất quan tâm tới took WVS này, có gì mới về acunetix bạn chia sẻ giúp. xin cảm ơn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chào các tiền bối. Các tiền bối cho em hỏi phương pháp hack acc chủ động trên https là như thế nào và tools hack. Em đang dùng kali linux 2017. Tiền bối có thể giúp em đươc không. Thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nhờ các bạn xem khi kiểm tra website này có 31 cảnh báo có nghiêm trong không? Có hình đính kèm
Nhờ các chuyên gia hương dẫn cách vá lỗi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nhờ các bạn xem khi kiểm tra

website này có 31 cảnh báo có nghiêm trong không? Có hình đính kèm
Nhờ các chuyên gia hương dẫn cách vá lỗi.
Bạn chú ý đọc bên phải hình có các thông tin về các lỗi Possible sensitive files nó giải thích khá rõ là những file này có khả năng cung cấp nhưng thông tin nhạy cảm (tệp mật khẩu, tệp cấu hình, tệp nhật ký, bao gồm tệp, dữ liệu thống kê, các bãi chứa cơ sở dữ liệu) giúp kẻ tấn công tìm hiểu thêm về mục tiêu của mình, đấy là do tool cảnh báo nếu bạn check trong những file trên có thông tin nhạy cảm thật thì nó thực sự nguy hiểm, còn chỉ là các page html đơn thuần của website thì không có gì nguy hiểm cả. Bạn có thể xóa mấy file này đi nếu không dùng đến.
Lỗi web server version bạn có thể check phiên bản webserver để tiến hành update còn đang dùng hosting thì lỗi này phải nhờ quản trị server nhé.
Mấy lỗi còn lại thì tool quét hầu như website nào cũng có và không nguy hiểm đến sự toàn vẹn dữ liệu trên webiste bạn có thể tham khảo thêm các lỗi đó ở ô bên phải khi click vào từng link lỗi tương ứng.

err.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: hoctap2016
Comment
e chào các anh. e xin được sự trợ giúp từ các anh. bọn e có môn thi thương mại điện tử. thầy giáo chia lớp thành 3 nhóm : một nhóm tạo trang web, một nhóm tấn công và một nhóm phòng thủ. e thuộc nhóm tấn công ạ. e xin được các anh chia sẻ cho e một số cách khai thác lỗi và tấn công đơn giản với ạ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên