11 алата за напад грубом силом за тест пенетрације

by
Tweet
Share
Share
Pin

Kako biste osigurali IT sistem vaše firme, neophodno je imati konkretne dokaze da je vaše poslovanje online sigurno od različitih vrsta sajber napada, a posebno od napada grubom silom.

Šta je napad grubom silom?

Napad grubom silom predstavlja jednu od najopasnijih pretnji u sajber prostoru sa kojom se možete suočiti! Cilj ovakvog napada je da se probije bezbednost vašeg veb sajta ili uređaja, bilo da je reč o lozinki za prijavu ili ključevima za šifrovanje. Napadač koristi uporan pristup pokušajima i greškama kako bi ostvario svoj cilj.

Postoji nekoliko metoda napada grubom silom, a najčešći su:

  • Hibridni napadi grubom silom: Ovo uključuje pokušaj ili slanje hiljada očekivanih reči, reči iz rečnika, pa čak i nasumičnih kombinacija.
  • Obrnuti napadi grubom silom: Ovde se pokušava pronaći ključ za dekriptovanje lozinke putem iscrpne pretrage.

Zašto su nam potrebni alati za testiranje penetracije?

Napadači koji koriste metodu grube sile koriste različite alate kako bi postigli svoje ciljeve. Upravo te alate možete koristiti za testiranje penetracije, odnosno za provere bezbednosti vašeg sistema. Ovaj proces se naziva i „pentestiranje“ ili „testiranje olovkom“.

Test penetracije je u suštini simulacija hakerskog napada na sopstveni IT sistem. Ovim postupkom možete identifikovati sve potencijalne sigurnosne propuste.

Važna napomena: alati koji se pominju u nastavku mogu generisati veliki broj zahteva, pa ih treba koristiti isključivo u kontrolisanom okruženju vaše aplikacije.

Gobuster

Gobuster je jedan od najefikasnijih i najbržih alata za napade grubom silom, koji ne zahteva vreme za pokretanje. On koristi skener direktorijuma programiran u Go jeziku, što ga čini bržim i fleksibilnijim od interpretiranih skripti.

Karakteristike:

  • Gobuster se ističe po svojoj podršci za konkurentnost, što mu omogućava da obavlja više zadataka istovremeno, uz održavanje brzine obrade.
  • Reč je o laganom alatu koji ne koristi Java GUI, već radi isključivo preko komandne linije na raznim platformama.
  • Sadrži ugrađenu pomoć za korisnike.

Režimi:

  • dir – Klasičan režim pretraživanja direktorijuma.
  • dns – Režim za pretragu DNS poddomena.
  • s3 – Pretraga otvorenih S3 segmenata i listanje sadržaja.
  • vhost – Režim pretrage virtuelnih hostova.

Međutim, Gobuster ima jedan nedostatak, a to je ograničena mogućnost rekurzivnog pretraživanja direktorijuma, što može smanjiti njegovu efikasnost prilikom rada sa višeslojnim direktorijumima.

BruteX

BruteX je izvanredan sveobuhvatan alat otvorenog koda, zasnovan na shell-u, za sve vaše potrebe prilikom napada grubom silom.

  • Pretraga otvorenih portova
  • Otkrivanje korisničkih imena
  • Probijanje lozinki

Koristi snagu sistematskog probijanja lozinki putem isprobavanja velikog broja mogućih kombinacija.

Uključuje funkcionalnosti mnogih drugih alata poput Nmap, Hydra i DNS enum. Ovo vam omogućava skeniranje otvorenih portova, sprovođenje napada grubom silom na FTP, SSH i automatsko prepoznavanje servisa koji se pokreću na ciljnom serveru.

Dirsearch

Dirsearch je napredni alat za grubo forsiranje, baziran na komandnoj liniji. On predstavlja i skener veb putanja, sposoban za forsiranje direktorijuma i datoteka na veb serverima.

Dirsearch je nedavno postao deo zvaničnih paketa Kali Linux-a, ali funkcioniše i na Windows, Linux i macOS operativnim sistemima. Napisan je u Python-u radi lakše kompatibilnosti sa postojećim projektima i skriptama.

Takođe je znatno brži od tradicionalnog DIRB alata i nudi brojne dodatne funkcije.

  • Podrška za proxy server
  • Multithreading (istovremeno izvršavanje više zadataka)
  • Nasumično korišćenje user-agent-a
  • Podrška za više ekstenzija
  • Skeniranje arene
  • Kašnjenje zahteva

Kada je reč o rekurzivnom skeniranju, Dirsearch je bez premca. On se vraća nazad i pretražuje, tražeći dodatne direktorijume. Pored brzine i jednostavnosti, ovo ga čini jednim od najboljih alata za svakog testera penetracije.

Callow

Callow je alat za probijanje lozinki, jednostavan za korišćenje i prilagodljiv. Napisan je u Python-u 3 i dizajniran je da zadovolji potrebe i zahteve početnika.

Pruža fleksibilne korisničke opcije za lako rukovanje greškama, posebno za početnike kako bi ih lako razumeli i intuitivno rešili.

SSB

Secure Shell Bruteforcer (SSB) je jedan od najbržih i najjednostavnijih alata za napade grubom silom na SSH servere.

Korišćenje sigurnog shell-a SSB vam pruža odgovarajući interfejs, za razliku od drugih alata za probijanje SSH server lozinki.

Thc-Hydra

Hydra je jedan od najpoznatijih alata za probijanje prijava, koji se može koristiti na Linux-u, Windows/Cygwin-u, kao i Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) i macOS operativnim sistemima. Podržava različite protokole kao što su AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY i mnogi drugi.

Hydra je po defaultu instalirana na Kali Linux-u i dostupna je i kao komandna linija, ali i kao grafička verzija. Može da probije pojedinačne lozinke, ili cele liste korisničkih imena i lozinki, koristeći metodu grube sile.

Ovaj alat je paralelan, vrlo brz i fleksibilan, što vam omogućava da daljinski utvrdite mogućnost neovlašćenog pristupa vašem sistemu.

Iako postoje i drugi alati za probijanje prijava, Hydra podržava veliki broj protokola i paralelnih veza.

Burp Suite

Burp Suite Professional je neophodan set alata za veb bezbednosne testere, opremljen brzim i pouzdanim funkcijama. Može da automatizuje monotone zadatke testiranja. Dizajniran je za ručno i poluautomatsko testiranje sigurnosti od strane stručnjaka. Mnogi profesionalci ga koriste prilikom testiranja OWASP top 10 ranjivosti.

Burp nudi brojne jedinstvene mogućnosti, od povećanja pokrivenosti skeniranjem do mogućnosti prilagođavanja tamnom režimu. Može da testira i skenira moderne veb aplikacije bogate funkcijama, JavaScript, kao i API-je.

Ovaj alat je dizajniran za testiranje servisa, a ne za hakovanje, za razliku od mnogih drugih. On snima kompleksne sekvence autentifikacije i generiše izveštaje za direktnu upotrebu i deljenje sa krajnjim korisnicima.

Prednost mu je i mogućnost sprovođenja bezbednosnih testova van okvira (OAST), koji otkrivaju mnoge nevidljive ranjivosti. Takođe, omogućava vam da prvi iskoristite prednosti koje pruža PortSwigger Research, što vas stavlja u prednost.

Patator

Patator je alat za grubo forsiranje, dizajniran za višenamensku i fleksibilnu upotrebu, sa modularnom strukturom. Nastao je kao odgovor na probleme prilikom korišćenja drugih alata i skripti za probijanje lozinki. Patator bira novi pristup kako bi izbegao ponavljanje starih grešaka.

Napisan u Python-u, Patator je višenitni alat koji nastoji da pruži fleksibilnije i pouzdanije testiranje penetracije u odnosu na svoje prethodnike. Podržava brojne module, uključujući:

  • FTP
  • SSH
  • MySQL
  • SMTP
  • Telnet
  • DNS
  • SMB
  • IMAP
  • LDAP
  • rlogin
  • Zip datoteke
  • Java Keystore datoteke

Pydictor

Pydictor je još jedan odličan alat za rad sa rečnicima za probijanje lozinki. Kada su u pitanju dugotrajni testovi snage i složenosti lozinki, on može impresionirati i početnike i profesionalce. Ovaj alat je nezaobilazan u arsenalu napadača. Pored toga, ima brojne funkcije koje vam omogućavaju da uživate u izuzetnim performansama u svakoj situaciji testiranja.

  • Stalni asistent: omogućava kreiranje opšte liste reči, liste reči socijalnog inženjeringa, posebne liste reči koristeći veb sadržaj itd. Pored toga, sadrži filter koji pomaže da se usredsredite na relevantnu listu reči.
  • Visoko prilagodljiv: možete da prilagodite atribute liste reči prema vašim potrebama pomoću filtera po dužini, režimu rada i mnogim drugim funkcijama.
  • Fleksibilnost i kompatibilnost: sposoban je da analizira konfiguracione datoteke i radi na Windows, Linux i Mac operativnim sistemima.

Pydictor rečnici:

  • Numerički rečnik
  • Alfabetni rečnik
  • Rečnik velikih slova
  • Numerički rečnik u kombinaciji sa velikim slovima abecede
  • Velika slova u kombinaciji sa malim slovima abecede
  • Brojke u kombinaciji sa malim slovima abecede
  • Kombinacija velikih slova, malih slova i brojeva
  • Dodavanje statičkog headera
  • Manipulacija filterom složenosti rečnika

Ncrack

Ncrack je alat za probijanje mrežnih lozinki, sa visokim performansama. Namenjen je kompanijama kako bi proverile da li njihovi mrežni uređaji koriste slabe lozinke. Mnogi bezbednosni stručnjaci preporučuju Ncrack za proveru bezbednosti sistemskih mreža. Može se koristiti kao samostalni alat ili kao deo Kali Linux distribucije.

Sa modularnim pristupom i dinamičkim mehanizmom, Ncrack je dizajniran sa komandnom linijom i može da prilagodi svoje ponašanje u zavisnosti od povratnih informacija mreže. Moguće je pouzdano izvršiti široku proveru bezbednosti na većem broju hostova istovremeno.

Karakteristike Ncrack-a nisu ograničene samo na fleksibilan interfejs, već obezbeđuju i punu kontrolu nad mrežnim operacijama za korisnika. Omogućava sofisticirane napade grube sile, interakciju tokom izvršavanja i definisanje šablona vremena za lakšu upotrebu, slično kao i Nmap.

Podržani protokoli uključuju SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OVA i DICOM, što ga čini upotrebljivim u širokom spektru industrija.

Hashcat

Hashcat je alat za oporavak lozinki. Radi na Linux, OS X i Windows operativnim sistemima i podržava brojne Hashcat algoritme kao što su MD4, MD5, SHA familija, LM heševi i Unix Crypt formati.

Hashcat je postao poznat zahvaljujući optimizacijama, koje delimično zavise od softvera koji je otkrio kreator Hashcat-a.

Hashcat ima dve varijante:

  • Alat za oporavak lozinki zasnovan na CPU-u
  • Alat za oporavak lozinki zasnovan na GPU-u

GPU alat može da probije neke hashcat algoritme za kraće vreme nego CPU alat (MD5, SHA1 i drugi). Međutim, ne može svaki algoritam brže da se probije pomoću GPU-a. Ipak, Hashcat je opisan kao najbrži alat za probijanje lozinki na svetu.

Zaključak

Nakon ovog pregleda, imate raznovrstan arsenal alata na raspolaganju. Izaberite onaj koji vam najviše odgovara za datu situaciju i okolnosti sa kojima se suočavate. Ne postoji razlog da sumnjate u raznovrsnost alternativa. U nekim slučajevima, najjednostavniji alati su najbolji, dok je u drugim situacijama suprotno.

U sledećem koraku, istražite neke od alata za forenzičku istragu.