A futtatása közben statisztikát jelenít meg, a szkennelés és elemzés eredményét pedig a kötelezően megadandó output (-o dir) könyvtárba készíti el.
A tool jellemzői:
- nagyteljesítményű - tisztán C-ben írt, erősen optimalizált HTTP kezelés, alacsony CPU terhelés (akár 2 000 kérés/sec sebesség megfelelően reszponzív célpont esetén)
- könnyű használat
- élvonalbeli biztonsági logika - alacsony false positive arány, széleskörű biztonsági tesztek a nehezen detektálható sebezhetőségek felderítésére
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
És akkor most mi is ez? Mit szkennel?
- A hozzászóláshoz be kell jelentkezni
Egy megadott weboldalra ráengedve potenciális biztonsági sebezhetőségeket keres, majd a végén kiköp egy html output-ot, amelyben összefoglalja mit talált.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Köszi trey.
- A hozzászóláshoz be kell jelentkezni
nikto2 is "hasonló" bár van amiben nem versenytárs. perl vs C.
--
\\-- blog --//
- A hozzászóláshoz be kell jelentkezni
Kíváncsi lennék arra, hogy mikor lesz ennek online változata, sokkal kényelmesebb lenne :)
- A hozzászóláshoz be kell jelentkezni
Google analytics-ben van hasonló terhelés teszt, de lehet ezt is implementálni fogják :)
- A hozzászóláshoz be kell jelentkezni
hol?
- A hozzászóláshoz be kell jelentkezni
Visitors -> Benchmarking
- A hozzászóláshoz be kell jelentkezni
Tökéletesen és teljesen másról van szó. A skipfish biztonsági hiányosságokat keres, a GA visitor benchmarkingja meg összehasonlítja az oldalad hasonló oldalakkal.
- A hozzászóláshoz be kell jelentkezni
ez "teljesitmenyteszt"? :o
- A hozzászóláshoz be kell jelentkezni
jah, hol?
- A hozzászóláshoz be kell jelentkezni
Letöltöttem, leforgattam, elindítottam a céges honlapra, és meghalt bele. Segfaultolt amikor végzett és kiírta volna a végeredményt (a crawl valószínűséget le kellett vennem 100%-ról, mert különben végtelen ciklusba került).
GThomas
- A hozzászóláshoz be kell jelentkezni
Világhatalomra törős filmekben szoktam látni az agyszivattyút, azaz a jól védett objektumot, amibe a hatalommániás emberünk összegyűjti a világ összes fehérköpenyes tudósát.
A google-híreket olvasva valahogy mindig ez a kép jut eszembe.
suckIT szopás minden nap! A fájlokat tömörítsük, vagy a fájlrendszert?
- A hozzászóláshoz be kell jelentkezni
"összegyűjti a világ összes fehérköpenyes tudósát."
Akiknek az agyának egy részét azért elég szépen kidumpolja (nyílt forrásúvá teszi a termékeiket) a világnak. :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igen, ez mindenképpen örvendetes, mint ahogy az is, hogy nem irigykednek (sok BSD licences).
suckIT szopás minden nap! A fájlokat tömörítsük, vagy a fájlrendszert?
- A hozzászóláshoz be kell jelentkezni
a kifejezés amit keresel a brain-drain :)
- A hozzászóláshoz be kell jelentkezni
Nem ismertem, köszi!
suckIT szopás minden nap! A fájlokat tömörítsük, vagy a fájlrendszert?
- A hozzászóláshoz be kell jelentkezni
Lefuttattam nehany oldalon, de semmi ertelmeste nem nyogott ki. Foleg a mime type-okkal van elfoglalva, de nem vagom mi a baja veluk, jok a visszaadott ertekek (szerintem legalabbis).
Meg erolteti a /cgi-bin/printenv/ url-t, pedig ilyen nincs is. Irja is hogy 404, mintha ez baj lenne...
Szoval mire is jo ez a micsoda?
A'rpi
- A hozzászóláshoz be kell jelentkezni
lefuttattam,
-SQL injection hibát talált a kódjaimban. $_SERVER[REQUEST_URI]-t használtam több helyen, és a benne lévő értékeket rendszerint elfelejtettem addslash-olni.
-XSS hibák, olyan helyen, amikre nem is gondoltam.
-Mime-s gondok.
-Kint maradt phpmyadminok
-Jelszóval nem védett admin oldal
-stb.
Hasznos tool.
Kéne valami olyan alkalmazás is, ami a szervert teszteli le valahogyan. Az alábbi Epic Fail velem történt:
-beállítottam egy szervert: lett rá postfix telepítve, hogy a PHP tudjon levelet küldeni. Az SMTP-t megszorítottam a localhostra.
-egy szép nyári nap tettem rá egy proxy szervert, iptable-val beállítottam hogy csak én tudjam elérni. (az squid configban minden címről való kapcsolódást engedélyeztem)
-pár hétre rá újraindítottam a szervert, a proxit akkor már nem használtam, az IPTABLE-ról meg elfelejtkeztem.
==> 4-5 nap múlva a szerver lefagyott.
-bementem a Victur Hugo-ba, és újraindítottam, harveresen okésnak tűnt, nem értettem az okát. Mire hazaértem, a load már 20 körül volt.
-htop: a bűnös a log rotate: milliónyi levél volt a postfix mail queue-jában: Rolex, Viagra, és a társai.
-postfix leállít, mail queue kipucul, postfix újraindít: pár óra múlva ismét 50 ezer spam a queue-ban.
A hiba az squid volt: miután csatlakoztak rá, a localhost-on ott figyelt az SMTP szerver, és úgy töltötték be a spamet.
De mire erre rájöttem.... Na, itt jött volna jól a szerver-sebezhetőséget felderítő tool :)
- A hozzászóláshoz be kell jelentkezni
"Kéne valami olyan alkalmazás is, ami a szervert teszteli le valahogyan."
Minden ellen nem véd, de:
Bastille
@@
"You can hide a semi truck in 300 lines of C."
- A hozzászóláshoz be kell jelentkezni
[+] This was a great day for science!
--
Live free, or I f'ing kill you.
- A hozzászóláshoz be kell jelentkezni
+1
zsiraf kis cucc, es eddig csak hizlalta a majam :)
- A hozzászóláshoz be kell jelentkezni
Véleményem szerint sajnos ez akár rossz célokra is használható. Ezzel a programmal megkönnyítik egyes rosszindulatú felhasználók dolgát, akik fel akarnak törni egy oldalt.
veresh
- A hozzászóláshoz be kell jelentkezni
Véleményem szerinte ez egy hasznos eszköz. Ezzel a programmal megkönnyíthetik az üzemeltetők dolgát, hiszen az esetleges sérülékenységekre időben fény derülhet.
--
\\-- blog --//
- A hozzászóláshoz be kell jelentkezni
csak mint bármilyen szakmai tudás, pl az orvos tudja mi mérgező az emberre nézve, a kémikus tudja ezeket hogy lehet előállítani..
minden szakmát tanult embernek le kelljen tennie egy esküt hogy ami tudást megszerzett szakmán kívülinek nem adja tovább, a nyílt internetet pedig becsukjuk, a bulváron kívül mindenhova csak jelszóval lehet belépni.. persze az igazi az lenne ha végre valaki feltalálná az időutazást és ádám kezére csapnánk
- A hozzászóláshoz be kell jelentkezni
+10
egyébként meg +1 a már említett niktonak is
[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS
- A hozzászóláshoz be kell jelentkezni
Lehet "felesleges" leírnom, de a doksiból egy dolgot hiányoltam.
Azt írják, hogy libidn -re szükség lesz, de a libssl-dev -ről egy szót sem találtam. Tehát nekem Debian Lenny -n csak "apt-get install libidn11-dev libssl-dev" után sikerült lefordítani. Jó próbálkozást :)
- A hozzászóláshoz be kell jelentkezni
Nálam is a libssl-dev hiányzott...
Az előbb meg dobott egy segfaultot persze 15 perc futás után...
- A hozzászóláshoz be kell jelentkezni
apt-get install libidn11-dev libssl-dev build-essential
Segített 10.04-en, thx.
|| "Software is like sex: it's better when it's free." Linus Torvalds || Visit Gorkhaan's Homepage
- A hozzászóláshoz be kell jelentkezni
svn-ben miert nincs kod?
szerintem.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni