3. PENETRAATIOTESTAUS
3
- Järjestelmän tietoturvariskien ja hyökkäysvektoreiden löytäminen
- Eettinen hakkerointi (käytännössä kuitenkin tietomurron yrittämistä)
- Automaattista tai manuaalista
- musta-, harmaa- tai lasilaatikko
4. KALI LINUX YLEISESTI
4
- Debianiin pohjautuva Linux distro
- Käytetään forensiikkaan ja penetraatiotestaukseen
- Yli 600 esi-asennettua työkalua
- Voidaan käyttää asentamalla suoraan, live cd:ltä tai usb:ltä tai
virtuaalikoneella (esim. VirtualBox)
5. KALI LINUXIN TOIMINTATAVAT
5
- Etsii (ja hyödyntää) haavoittuvuuksia (esim XSS, injektio)
- Murtaa salasanoja
- Luo haittaohjelmia
- Haistelee ja tunnistaa verkkoja, laitteita ja ohjelmia
11. NIKTO
11
$ nikto -h http://wp.test
- Skannaa koko palvelimen
- Haistelee ja voi löytää jotain mielenkiintoista
- Ei hyödynnä haavoittuvuuksia automaattisesti
13. WPSCAN
13
- Etsii ja listaa tunnettuja olemassa olevia haavoittuvuuksia
- Tunnistaa lisäosia ja niiden versioita
- Murtaa salasanoja
- Voi käyttää ilman Kalia https://wpscan.org/
14. WPSCAN KOMENTOJA
14
$ wpscan --url http://wp.test
- Saa käyttää missä vain
- Tunnistaa:
- lisäosat
- haavoittuvuudet
- headerin tiedot
15. WPSCAN KOMENTOJA
15
$ wpscan --url http://wp.test --enumerate u
- Listaa tunnetut käyttäjät
- Saa käyttää mihin sivustoon tahansa
Voi yrittää estää, mutta silloin kannattaa ottaa apeista myös pois näkyvistä.
16. WPSCAN - DICTIONARY ATTACK
16
Dictionary attack on tietomurron yrittämistä, joten vain omille sivustoille ja
käyttöpalveluntarjoajan luvalla!
$ wpscan --url http://wp.test --wordlist /var/www/html/passwords.txt
--username testi
Parempiakin työkaluja tähän on, esim Hydra.
18. MUITA TYÖKALUJA
18
Tiedusteluun mistä tahansa domainista:
● whois ja host -komennot - domainnimien omistajat ja nimipalvelimet
● crt.sh - sertifikaattien rekisteröinnit ja yleinen haistelu
Varovasti ja vain luvan kanssa (omiin palveluihin ja palvelimiin):
● Mmap / MassCan - porttiskannaus
● Nessus - kaupallinen tuote, ilmainen omaan käyttöön
● WordPressin suoraan murtamiseen
○ WPForce https://github.com/n00py/WPForce Tehokas!