Most a ZAP (Zad Attack Proxy) nevű programot fogjuk használni ami eléggé jól lett ki fejlesztve mert elég sok sebezhetőséget tud megtalálni. :)
Egyébként Java nyelven írták ezért kell Java 7. telepíteni a mi kis rendszerünkre amin használni fogjuk. :)
Java 7. az alábbi parancsok segítségével lehet telepíteni linux alatt:
Előszor jelentkezzünk be root ként ezt a su parancsal lehet megtenni ha beírtad,hogy su akkor írd be a jelszavadat és miután be vagy jelentkezve rootként írd be ezeket:
sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java7-installer
Ha ezekkel végeztél, akkor töltsd le a ZAP-ot innen:sudo apt-get update
sudo apt-get install oracle-java7-installer
http://code.google.com/p/zaproxy/downloads/list
Ha letöltötted csomagold ki és indítsd el a zap.sh nevű fájlt ami kiadja a parancsot,hogy elinduljon az program és vele minden ami kell...
és aztán nyomd meg az Attack gombot. :)
Elkezd keresni dolgokat mondjuk képek infók szriptek sebezhetőségek :)
De aki már tapasztalt ebben az tudja, hogy az IP címet el kell rejteni miközben scannel mert ha találsz valami sebezhetőséget, akkor már az jár a fejedben,hogy mi lenne ha én ezt kihasználnám meg minden és IP rejtés nélkül le fognak kapcsolni csak előre szólok...
Ha van a sarokban a piros zászlónál egy egyes az már jó jel mert az XSS-re is utalhat :)
Ezeket a "zászlós" találatokat az Alters-nél nézheted meg :)
Ez elég jó kis program mert amit csak lehet megpróbál kiszedni a szerverből pl jelszó hashek stb...
Ennyi lenne és mindig csak okosan csináljatok mindent :)
Kösz,hogy elolvastad :)
