Лучшие инструменты для тестирования на проникновение: от Metasploit до Burp Suite

Полноценная защита веб-приложений и инфраструктуры от проникновения со стороны — критически важная характеристика любого программного продукта. Тестирование систем, то есть из испытание на прочность и степень защищенности от взлома, проводится разными методами. Есть десятки разнообразных инструментов, которые имитируют хакерские атаки, чтобы обнаружить уязвимости в приложении или сети еще до того, как этим займутся злоумышленники.

Разработчики проводят испытания на возможность взлома, чтобы узнать, насколько программные ресурсы защищены от стороннего доступа. В этом случае тестировщики становятся «белыми хакерами» и собирают как можно больше сведений о статусе системы. В зависимости от результатов исследования специалисты внедряют новые решения или оставляют всё как есть, удовлетворенные уровнем защиты.

Обеспечить безопасность всех критически важных элементов системы не так просто. В протекции нуждаются операционные системы, драйверы, сети, базы данных, фреймворки и библиотеки, а также, собственно, код. Тестирование этих компонентов в ручном режиме потребует колоссальных затрат средств и времени. По этой причине организации применяют специальные инструменты для тестирования веб-приложений и других продуктов.

В статье расскажем о топовых системах для проведения испытаний — об их возможностях, преимуществах, ограничениях и сценариях использования.

Metasploit Framework

Многофункциональный фреймворк для сканирования сетей и серверов с целью выявления слабых мест в системе безопасности. Инструмент имеет открытый исходный код, что идет ему только на пользу — программы постоянно совершенствуется, добавляются новые функции.

Эксперты считают Metasploit одним из самых мощных инструментов в деле защиты веб-приложений и других продуктов. У него множество функций, подробная документация и свободный доступ к скачиванию на официальном сайте фреймворка.

Metasploit создан сообществом разработчиков в сотрудничестве с компанией Rapid7. Фреймворк помогает специалистам по безопасности не просто находить существующие уязвимости, но и выявлять потенциальные угрозы, тем самым работая на опережение.

Основные преимущества фреймворка:

• Обширная библиотека. Состоит из 1600 эксплойтов (программ, использующих уязвимости), сканеров, слушателей (модулей для сбора данных), кодеров, декодеров и сотен других компонентов для проверки безопасности.
• Автоматизированные инструменты для пентеста. Используются в процессе разработки и после релиза — с их помощью специалисты решают оборонительные и наступательные задачи. 
• Наличие Мастера проверки уязвимостей. Он распределяет проблемы безопасности системы в приоритетном порядке, устанавливая очередность устранения этих уязвимостей. 
• Универсальность. Подходит для любых программных продуктов, сетей и элементов инфраструктуры. 
• Доступность. У фреймворка простая структура управления и понятный интерфейс, а его рабочая версия доступна в бесплатном режиме. 

Метасплойт создает планы атак и самостоятельно их реализует. Они имитирует попытки взлома системы и быстро находит слабые места. При этом инструменты фреймворка сами оценивают, насколько опасны найденные уязвимости и как ими могут воспользоваться злоумышленники для проникновения в систему.

Nmap

Утилита (сканер) для быстрого и простого исследования сетей и тестирования безопасности. Обнаруживает активные устройства и вредоносные программы. Инструмент называют сетевым картографом — он действительно картирует сеть, после чего анализирует ответы.

С помощью Nmap специалисты по безопасности проверяют компоненты операционных систем и запущенные службы, находят открытые порты, тестируют брандмауэры и оценивают потенциальные угрозы.

Ключевые преимущества утилиты:

• Универсальность. Nmap работает с разными операционными системами — Windows, Linux, macOS. 
• Совместимость с другими средствами. Инструмент можно использовать в сочетании с фреймворком Metasploit, чтобы автоматизировать выявление уязвимостей. 
• Гибкость и возможность тонкой настройки. Возможность быстрого или более медленного, но детального сканирования. В числе интересных фич — наличие скрипта для проверки узлов на присутствие сетевого червя Stuxnet. 
• Подробная документация. Есть справочное руководство на русском языке и полезные статьи по работе с инструментом.
• Возможность масштабирования. Утилита подходит для тестирования любых сетей, в том числе обширных с тысячами машин. 

Nmap поучал статус «Продукта безопасности года» от профессиональных журналов и сообществ, что говорит о востребованности сканера и его качественных характеристиках.

Инструмент прост для установки, доступен в версиях с понятным графическим интерфейсом и командной строкой. Базовая версия бесплатна, но в ней отсутствует ряд важных опций.

Burp Suite

Этот высокоэффективный программный комплекс представляет собой набор утилит и используется для тестирования безопасности. Инструмент разработан PortSwigger, доступен в бесплатной и платной версиях. Один из наиболее востребованных вариантов применения — перехват трафика, в том числе HTTP-запросов.

В числе плюсов Burp Suite:

• Многофункциональность. Фреймворк активно используется специалистами по безопасности, пентестерами, разработчиками для выявления уязвимостей и потенциально слабых мест в приложениях или API. 
• Модульная структура. Состоит из отдельных элементов — сканера, прокси-сервера, ретранслятора, секвенсора. При имитации атак модули работают совместно,  выполняя различные тестировочные задачи. 
• Возможность работы в связке. Используется в комбинации с Metasploit и Nmap для решения масштабных задач на безопасность продуктов. 

Интегрированная платформа применяется для тестирования в ручном и автоматическом режимах и взаимодействует со всеми популярными ОС.

Применить Burp Suite для базовых проверок довольно просто:

1. Пользователь открывает панель управления и выбирает опцию New scan. 
2. В поле для URL вводит адрес тестируемого сайта и нажимает Ок. 
3. Утилита создает карту сайта, далее сканер начинает поиск уязвимостей.
4. Актуальный список проблемных точек появляется в окне Issue activity. 
5. После выбора проблемы тестировщик получает доступ к вкладкам, где содержится детальное описание уязвимостей и рекомендуемые способы их устранения.  

Burp выпускается в трех редакциях — корпоративной, профессиональной и бесплатной. Версия Community Edition — отличный вариант для начинающих тестировщиков.

Wireshark

Инструмент с открытым исходным кодом, используемый для анализа сетевых протоколов, выявления аномалий и возможных атак. Применяется в различных ОС для захвата текущего сетевого трафика, чтобы исследовать его на проблемы с безопасностью. Проект, запущенный еще в 1998 году, развивают эксперты по технологиям безопасности со всего мира.

Проверять и фильтровать сетевые пакеты можно в режиме реального времени, что позволяет сконцентрироваться на исследовании статуса конкретного трафика.

Базовые возможности и преимущества Wireshark:

• углубленная проверка сотен протоколов безопасности и постоянные обновления;
• перехват трафика в онлайн-режиме и автономный анализ данных;
• мультиплатформенность — работа на всех ОС, включая Windows, Linux, FreeBSD и многих других;
• сетевые данные можно анализировать с помощью графического интерфейса;
• содержит наиболее мощные и подробные фильтры отображения среди анализаторов трафика. 

Wireshark — бесплатный анализатор, относительно простой в освоении и управлении. Это эффективное решение для организаций любого масштаба и профиля: инструментом можно оснастить всех специалистов компании, в том числе сисадминов.

После захвата трафика пользователь видит экран, на котором отображены пакеты и их декодирование. Эксперты утверждают, что декодировка в Wireshark выполняется на самом высшем уровне, однако далее все зависит от навыков оператора и его компетенций в сфере протоколов.

Основная сложность в использовании анализатора — это грамотная настройка фильтров. На экране отображается количество серверов, потоки данных, список проблем, на которые стоит обратить внимание. Требуется время, чтобы разобраться с фильтрами, но зато после освоения функционала работа с программой становится простой и удобной.

SQLmap

Этот инструмент представляет собой фреймворк эксплойтов, то есть набор инструментов для тестирования различных уязвимостей. У SQLmap открытый исходный код, что делает его востребованным и доступным вариантом для постоянного использования.

Фреймворк автоматизирует процессы обнаружения уязвимостей и операции с ними. SQLmap поддерживает множество систем управления базами данных, в том числе MySQL, Amazon Redshift, Oracle. Пентестеры часто используют этот инструмент в комбинации с ручным управлением.

Возможности SQLmap:

• фреймворк обнаруживает такие проблемы веб-приложений, как SQL-инъекции (фрагменты вредоносного кода, внедренные в базы данных);
• есть функции взлома хэшей, а также сброса столбцов и таблиц;
• тестирование выполняется автоматически — тестеру нужно лишь задать несколько параметров и запустить нужные опции, остальное SQLmap сделает сам;
• SQLmap обнаруживает уязвимые URL-адреса и дает рекомендации для работы с ними;
• для работы с фреймворк не нужны навыки написания сценариев, достаточно знать, что собой представляют запросы к базам данных. 

Чтобы напрямую взаимодействовать с базами данных, достаточно указать учетные сведения, имя, IP-адрес, порт. Далее инструмент работает в самостоятельном режиме.

John the Ripper

Это инструмент используется для проверки надежности паролей и их восстановления. «Джон Потрошитель» выявляет уязвимости в системе безопасности организации и обеспечивает эффективное управление корпоративными паролями.

John the Ripper взламывает пароли, зашифрованные с помощью распространенных алгоритмов шифрования, включая MD5 и SHA.

Основные плюсы:

• открытый исходный код — постоянные обновления и улучшения со стороны экспертного сообщества;
• поддержка сотен кэшей и различных шифров;
• используются собственные оптимизированные модули для соответствующих процессорных архитектур;
• пакет Ripper поставляется со множеством вспомогательных утилит. 

Взломщик изначально создан с упором на скорость и многофункциональность. В одной программе сочетается несколько режимов взлома, что позволяет настроить инструмент под конкретные запросы. John the Ripper работает на разных платформах, что позволяет использовать его везде, где это необходимо.

Aircrack-ng

Комплекс программ для тестирования беспроводных сетей, захвата передаваемого трафика, проверки надежности ключей шифрования. Инструмент работает со всеми беспроводными адаптерами с режимом мониторинга.

Возможности Aircrack-ng:

• работает с ОС Windows, UNIX, Linux, а также Zaurus и Maemo;
• анализирует трафик и отображает данные о сетях;
• создает виртуальный интерфейс для удобного управления;
• хранит пароли и управляет их списками;
• восстанавливает ключи.

Функционал Aircrack-ng достаточно обширен: в нем есть программы для настройки ложных точек доступа, расшифровки файлов WEP/WPA/WPA2, работы с беспроводными драйверами. .

Другие полезные инструменты

Инструментов для тестирования безопасности десятки. Их цель — имитация реальных атак на системы или конкретное веб-приложение. Задача пентестера — понять, смогут ли злоумышленники взломать сеть, пароли и воспользоваться другими уязвимостями.

Тестировщикам будет полезно узнать о дополнительных программах, известных в сфере цифровой безопасности:

• Hydra. Популярный взломщик паролей. Выполняет атаки методом перебора различных протоколов и методов шифрования. Поддерживает различные варианты аутентификации (HTTP, FTP, SMB), работает с огромным количеством онлайн-сервисов, что делает «Гидру» универсальным инструментом. Атака брутфорс выполняет взлом по имени пользователя и паролю одновременно.
• Nikto. Веб-сканер, которые избавляет тестировщиков и разработчиков от рутинных операций. Программа находит не до конца удаленные части скриптов, инструменты администрирования и проверяет сайт или приложение на различные ошибки, в том числе возникшие по вине человеческого фактора. Обнаружив нежелательные элементы и слабые места, Nikto сообщает о них пользователю. 
• OWASP ZAP. Еще один бесплатный инструмент для проверки безопасности веб-ресурсов. Сканирует приложения, анализирует полученные ответы, выявляет потенциальные опасности, в том числе SQL-инъекции и нежелательный скриптинг (XSS). У OWASP удобный графический интерфейс, который работает на всех популярных платформах. 

Итоги

Киберугроз, которые приходят из сети и других источников, становится все больше, что вынуждает специалистов постоянно следить за безопасностью сайтов, сетей, приложений и базами данных.

Пентестинг с помощью профильных инструментов — это практически полностью автоматизированный способ проверить ресурсы на уязвимости и проблемные места. Тестирование на проникновение — это возможность оценить уровень безопасности продукта и при необходимости добиться максимальной степени защищенности. Выбор инструмента зависит от особенностей, масштаба и направленности продукта, который нуждается в проверке и защите.