Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

Thảo luận trong 'Tools' bắt đầu bởi DiepNV88, 30/12/13, 11:12 PM.

  1. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Như tiêu đề bài viết với những bạn chưa biết về tool này nên đọc phần giới thiệu qua tại :

    http://whitehat.vn/threads/4737-Acunetix-Web-Vulnerability-Scanner.html

    Một list các lỗi mà Acunetix Web Vulnerability Scanner tìm ra để hiểu rõ hơn các lỗi này các bạn tham khảo các bài viết trên diễn đàn.

    Bài viết này mang tính hướng dẫn sử dụng công cụ cho những bạn chưa biết sử dụng với các bạn pro rùi thì đọc cho vui :

    Vâng với mình Acunetix Web Vulnerability Scanner là một công cụ kinh điển để kiểm tra các lỗi của một website.
    Khi sử dụng tool này các bạn phải cân nhắc kỹ vì scan lỗ hổng bảo mật chính là một hình thức hack trực tiếp bằng
    cách tiêm các đoạn mã kiểm tra được lập trình sẵn trong thanh công cụ.
    Như vậy sẽ có hàng loạt truy vấn độc hại ( nói quá) tới website đang bị Acunetix Web Vulnerability Scanner quét tới.
    Khi mình sử dụng scan một số website viết bằng ngôn ngữ java thì log weblogic xuất hiện rất nhiều lỗi ví dụ như:
    too many open file...
    Ngoài ra với các máy chủ apache ( có thể là hosting hay các VPS tự dựng) thì firewall iptables theo cơ chế sẽ block ip đang chạy phần mềm scan này và một số bạn sẽ ảo tưởng website đã die thực thế thì không phải.
    Với một số website bảo mật cao admin theo dõi log họ sẽ hiểu lầm bạn đang tác động tới website họ nên có thể ip của bạn sẽ bị admin block hoặc lưu lại đưa cho nhà chức trách ( ví dụ c50 ).


    Chém gió thế đủ rùi giờ mình xin bắt đầu bài viết:

    Link down load bản Acunetix Web Vulnerability Scanner full có hướng dẫn crack update thoải mái:
    Link mình tự up đảm bảo virut nhảy máy tính mình trước rùi mới up file sạch lên share:

    http://www.mediafire.com/download/b...AN 100 % VERSION_free-4-free.blogspot.com.rar

    Sau khi cài đặt các bạn update phiên bản mới nhất :

    [​IMG]

    Thiết lập cấu hình proxy cho an toàn trước khi scan:

    [​IMG]

    Để hiểu rõ hơn về tool này bạn có thể tham khảo ngay phần help:

    [​IMG]

    Chương trình khi scan chiếm khá nhiều tài nguyên máy tính nên các bạn ưu tiên chạy mình nó thui.
    Tạo một phiên scan mới:

    [​IMG]

    Lựa tìm kiếm các lỗi muốn scan.Với mình để default:

    [​IMG]

    Với chế độ new login sequence bạn cần tạo một user để đăng nhập sau khi đăng nhập trên box này quá trinh scan sẽ tiếp cận được với như file cấm truy cập nếu không đăng nhập.Như vậy quá trình quét sẽ đầy đủ hơn.

    [​IMG]

    Phần thiết lập new login sequence các bạn tự thiết lập.
    Sau đó quá trình scan sẽ bắt đầu khá đơn giản trương trình sẽ hiển thị list các lỗi website mắc phải và cả cấu trúc của website qua đó các bạn sẽ biết website viết bằng ngôn ngữ gì, hoặc famework nào rất hữu ích.Nhưng để xem cấu trúc mà biết được thông tin website bạn phải có kinh nghiệm chứ tool nó không bảo website đang dùng mã nguồn gì đâu.
    Do tính chất nhạy cảm của tool mình không demo website cụ thể nào cả .Ngoài ra chức năng khá tuyệt với của tool này là test các lỗ hổng .Ví dụ khi scan ra lỗi cho phép upload file lên server bạn chọn phần attack nó sẽ test thử và kết xuất ra mã java script để chứng mình lỗi đó nguy hiểm với cấp trên của bạn hoặc khách hàng.

    [​IMG]

    Nếu có vấn đề thắc mắc đội ngũ mod hay các thành viên khác trên diễn đàn sẽ giải đáp cho các bạn!
     
    Last edited by a moderator: 15/09/14, 03:09 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    khoanokia218 and nguyenbaluc like this.
  2. hacbach

    hacbach W-------

    Tham gia: 29/06/13, 03:06 PM
    Bài viết: 52
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    Mọi thứ đều bắt đầu từ những điều căn bản và pro cũng từ newbie mà thành :cool:
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 792
    Đã được thích: 298
    Điểm thành tích:
    83
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    Mình muốn viết thử 1 tool để kiểm tra xem liệu 1 website có bị dính lỗi: (1)SQL Injection, (2)XSS, hay không, bạn có thể gợi ý cách làm được k?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    khi bạn test lỗ hổng ứng dụng website bạn chèn các đoạn mã để kiểm tra vào các đối tượng texbox, seach, url...
    Theo nguyên lí đó bạn code còn các đoạn mã kiểm tra bạn tham khảo các bài đọc với một coder thì các mã này sẽ linh hoạt hơn rất nhiều do bạn có kinh nghiệm lấp trình.
     
    Last edited by a moderator: 04/01/14, 03:01 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. theheroofvn

    theheroofvn W-------

    Tham gia: 29/11/13, 07:11 PM
    Bài viết: 33
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    Crack update lên build mới ko đc bạn ơi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    update thoải mái
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. mrXmen47

    mrXmen47 W-------

    Tham gia: 12/11/13, 10:11 AM
    Bài viết: 17
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    [Error] Error loading Client Script Analyzer library. Javascript parsing will be disabled.
    [Warning] Unable to initialize SSL. Certificate file not found.
    [Warning] Unable to initialize SSL. Certificate file not found.

    Máy mình khi cài xong, chạy chương trình thì bị như thế này, thế là thế nào hả các bác
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. theheroofvn

    theheroofvn W-------

    Tham gia: 29/11/13, 07:11 PM
    Bài viết: 33
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    Download and Install Updates thì được mà Download and Install New Build thì ko được. Hình như phải cài bản 9 à?
     
    Last edited by a moderator: 05/04/14, 11:04 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Re: Cài đặt sử dụng Acunetix Web Vulnerability Scanner.

    Mình vẫn dùng bản này và chưa có ý định thay đổi bạn có thể lên trang chủ down trực tiếp về cài.
    http://www.acunetix.com/vulnerability-scanner/
    Quan trọng là bạn biết kết hợp hài hòa tool với kiến thức để tìm ra các bug trên website.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. nguyenbaluc

    nguyenbaluc New Member

    Tham gia: 18/10/16, 12:10 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1

    Mình cũng đang rất quan tâm tới took WVS này, có gì mới về acunetix bạn chia sẻ giúp. xin cảm ơn
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. doan linh

    doan linh Member

    Tham gia: 09/06/17, 04:06 AM
    Bài viết: 18
    Đã được thích: 1
    Điểm thành tích:
    1
    Chào các tiền bối. Các tiền bối cho em hỏi phương pháp hack acc chủ động trên https là như thế nào và tools hack. Em đang dùng kali linux 2017. Tiền bối có thể giúp em đươc không. Thanks
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. hoctap2016

    hoctap2016 W-------

    Tham gia: 16/06/16, 04:06 PM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Nhờ các bạn xem khi kiểm tra website này có 31 cảnh báo có nghiêm trong không? Có hình đính kèm
    Nhờ các chuyên gia hương dẫn cách vá lỗi.
     

    Các file đính kèm:

    • du.png
      du.png
      Kích thước:
      183.7 KB
      Đọc:
      183
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,332
    Đã được thích: 235
    Điểm thành tích:
    63
    Bạn chú ý đọc bên phải hình có các thông tin về các lỗi Possible sensitive files nó giải thích khá rõ là những file này có khả năng cung cấp nhưng thông tin nhạy cảm (tệp mật khẩu, tệp cấu hình, tệp nhật ký, bao gồm tệp, dữ liệu thống kê, các bãi chứa cơ sở dữ liệu) giúp kẻ tấn công tìm hiểu thêm về mục tiêu của mình, đấy là do tool cảnh báo nếu bạn check trong những file trên có thông tin nhạy cảm thật thì nó thực sự nguy hiểm, còn chỉ là các page html đơn thuần của website thì không có gì nguy hiểm cả. Bạn có thể xóa mấy file này đi nếu không dùng đến.
    Lỗi web server version bạn có thể check phiên bản webserver để tiến hành update còn đang dùng hosting thì lỗi này phải nhờ quản trị server nhé.
    Mấy lỗi còn lại thì tool quét hầu như website nào cũng có và không nguy hiểm đến sự toàn vẹn dữ liệu trên webiste bạn có thể tham khảo thêm các lỗi đó ở ô bên phải khi click vào từng link lỗi tương ứng.

    err.png
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    hoctap2016 thích bài này.
  15. Dang Thanh

    Dang Thanh New Member

    Tham gia: 21/12/17, 11:12 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    e chào các anh. e xin được sự trợ giúp từ các anh. bọn e có môn thi thương mại điện tử. thầy giáo chia lớp thành 3 nhóm : một nhóm tạo trang web, một nhóm tấn công và một nhóm phòng thủ. e thuộc nhóm tấn công ạ. e xin được các anh chia sẻ cho e một số cách khai thác lỗi và tấn công đơn giản với ạ.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan