Web Vulnerability Assessment parte 1

Usare DirBuster

Quando, effettuando una scansione di un server, si trovano aperte le porte 80 o 443: rispettivamente http ed https, è il caso di effettuare una serie di Vulnerability Assessment per verificare possibili vulnerabilità collegate ad un Server Web.

Per prima cosa è opportuno utilizzare DirBuster per farsi una idea della struttura del sito web e di quali applicazioni vi sono installate.

DirBuster è una applicazione Java, che pertanto funziona con qualsiasi sistema operativo, che e’ giunta alla versione 1.0-RC1 sviluppata all’interno del progetto OSWAP (Open Web Application Security Project).

Per chi utilizza kali, DirBuster è installato nella directory /usr/share/dirbuster, per chi utilizza invece BackTrack 5r3 DirBuster è presente nella directory /pentest/web/dirbuster; da notare però che la versione installata è una versione precedente alla 1.0-RC1 e che aggiornando BT non si aggiorna DirBuster: chi volesse aggiornarlo a mano può scaricarlo dall’url http://sourceforge.net/projects/dirbuster/files/DirBuster%20%28jar%20%2B%20lists%29/1.0-RC1/

DirBuster sostanzialmente effettua una scansione Brute-Force del sito Web appoggiandosi ad una serie di dizionari che contengono una lista di possibili nomi di directory e file associati ad altrettante Web Application.

Da notare che DirBuster non segue alcun link nel tentativo di ricostruire l’alberatura di un sito web e pertanto è in grado di riportare anche pagine amministrative che non sono in alcun modo linkate nel sito in questione.

Assieme a DirBuster vengono forniti i seguenti dizionari:

  • Apache-user-enum-1.0 / Apache-user-enum-2.0 – utilizzabili per scoprire utenti di sistema su installazioni apache con il modulo userdir abilitato; la prima lista contiene 8916 username, la seconda lista contiene 10341 username;
  • Directory-list-1.0 – lista di directory/file contenente 141694 parole;
  • Directory-list-2.3-small – lista di directory/file contenente 87650 parole;
  • Directory-list-2.3-small – lista di directory/file contenente 220546 parole;
  • Directory-list-lowercase-2.3-small – lista di directory/file NON case sensitive contenente 81629 parole;
  • Directory-list-lowercase-2.3-medium – lista di directory/file NON case sensitive contenente 207629 parole.

Per eseguire DirBuster sotto Windows/MacOS è sufficiente cliccare l’icona del programma; mentre sotto Linux è necessario lanciare il programma con Java –jar DirBuster-1.0.RC1.jar.

Una volta lanciato DirBuster è necessario inserire l’url del sito da scansionare ricordandosi di aggiungere il prefisso http:// altrimenti l’applicativo ritornerà un errore.

Fatto questo si dovra’ scegliere la wordlist da utilizzare; e’ consigliato utilizzare il file “Directory-list-2.3-small”.

Di default DirBuster utlizza 10 thread contemporanei per la scansione del sito web; avendo a disposizione una buona connessione sia in termini di banda (10 Mbit) sia in termini di latenza, si puo’ aumentare il numero di thread fino a 200 selezionando l’opzione “Go Faster”. Volendo e’ possibile raggiungere un massimo di 500 thread contemporanei, anche se non ho mai effettuato una prova con questo valore e quindi non sono in grado di dire se sia applicabile o meno.

In aggiunta è possibile specificare da quale directory DirBuster deve iniziare a scansionare il sito web (di default /) e quale estensione devono avere i file (di default php).

Infine è possibile richiedere a DirBuster di seguire le redirect presenti nel sito: in questo caso la scansione proseguirà anche all’esterno del sito che si sta scansionando.

Una volta impostati tutti i parametri si può lanciare la scansione: una scansione con la wordlist “Directory-list-2.3-small” e 200 thread contemporanei per una media di circa 100 richieste al secondo può richiedere dalle 5 alle 20 ore per essere completata; molto dipende comunque dalla connessione che si sta utilizzando e dalla banda a disposizione del server web.

Il consiglio è di lanciare DirBuster da un pc che può rimanere accesso senza problemi, magari la sera, così da trovare il risultato della scansione per la mattina successiva.

E’ possibile visualizzare il risultato della scansione come lista di directory/files o come alberatura; il risultato della scansione può essere esportato in modalità test, XML e CSV.

Nel prossimo articolo vedremo come verificare eventuali vulnerabilità associate ad un server Web Apache o IIS.

Image

Elenco di directory e files trovati durante una scansione

Image

Alberatura di un sito web scansito

Leave a Reply

Your email address will not be published. Required fields are marked *