Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
Архив рубрики: Публикации
Optiva Framework – сканер веб-приложений
Вы можете использовать эту платформу на своем веб-сайте, чтобы проверить безопасность своего веб-сайта, обнаружив уязвимость на своем веб-сайте, или вы можете использовать этот инструмент для поиска админ-панели SQL-инъекции дорком, а также сбора информации и шифрования хэшей.
Особенности
- Модули сбора информации:
- Сканер портов
- Поиск Whois
- Обратный поиск домена IP
- Поиск домена заголовка HTTP
- Iplocator Получить информацию о геолокации Ip
- Хэш-модули:
- Кодирование текста Md5
- Sha1 Кодировать текст
- SHA256 Кодировать текст
- SHA384 Кодировать текст
- SHA512 Кодировать текст
- Модули сканера:
- Кросс-сайт Scripting (XSS)
- SQL Injection Scanner (SQL)
- Dork Search SQL Injection Vuln
- Удаленный сканер выполнения кода (RCE)
- Поисковик панели администратора сайта
Установка в Linux
$ git clone https://github.com/joker25000/Optiva-Framework $ cd Optiva-Framework $ chmod +x installer.sh $ ./installer.sh $ Type In Terminal $ optiva
Установка в Windows
$ cd Optiva-Framework $ pip install termcolor $ pip install requests $ pip install mechanize $ run optiva : $ python optiva.py
Установка в Termux (не Root):
$ apt install git $ git clone https://github.com/joker25000/Optiva-Framework $ cd Optiva-Framework $ chmod +x installer.sh $ bash installer.sh $ Select the 3 option termux and press enter $ run optiva : $ python2 optiva.py
Скриншоты
Полное видео обучение:
Видео в Termux обучение:
2018-06-26T09:51:27
Аудит ИБ
Fuxi Scanner сканер уязвимостей сетевой безопасности
Fuxi Scanner – это сканер уязвимостей безопасности с открытым исходным кодом, который включает в себя множество функций.
- Обнаружение уязвимостей и управление ими
- Тестер проверки подлинности
- Открытие и управление ИТ-активами
- Сканер портов
- Поддоменный сканер
- Acunetix Scanner (интеграция Acunetix API)
Установка
Документация
Сканер уязвимостей
Модуль сканера интегрирует дистанционное тестирование уязвимости с открытым исходным кодом и платформу разработки PoC – Pocsuite
Как и Metasploit, это набор для разработки пентесторов для разработки своих собственных эксплойтов. Основываясь на Pocsuite, вы можете написать самый основной код PoC / Exp, не заботясь о результирующем выводе и т. д.
Есть как минимум несколько сотен человек, которые пишут PoC / Exp на основе Pocsuite.
Вы можете приобрести скрипты PoC из сообщества Seebug
Цель может быть IP, сегмент сети или URL.
Вы можете управлять плагинами в модулях Plugin Manager. Плагин должен соответствовать стилю кодирования PoC
Управление активами
Регистрация ИТ-активов:
Автоматическое обнаружение:
Вы можете отсканировать эту уязвимость путем поиска и фильтрации определенных служб
Тестер проверки подлинности.
Это взломщик входа, который поддерживает множество протоколов для атаки (HTTP Basic Auth, SSH, MySQL, Redis).
Цель может быть IP, сегмент сети или URL
2018-06-25T13:47:10
Аудит ИБ
Как включить сжатие GZIP в WordPress
Одним из первых решений для ускорения загрузки вашего WordPress CMS является уменьшение размера вашей страницы. Самый простой способ уменьшить размер вашего веб-сайта и улучшить время первого показа ваших веб-страниц — включить GZIP сжатия. Включение сжатия GZIP на вашем сервере может значительно сократить время загрузки запрошенного ресурса. Сегодня мы покажем вам, как включить сжатие GZIP в WordPress.
Как проверить, включено ли GZIP-сжатие
Если вы хотите проверить, было ли включено сжатие GZIP на вашем сайте, все, что вам нужно сделать, это перейти на бесплатный инструмент сжатия GZIP по адресу https://checkgzipcompression.com. Это, безусловно, один из самых простых способов проверить, включен ли GZIP на вашем сервере, потому что вам нужно только написать адрес своего веб-сайта и нажать кнопку.
Как включить сжатие Gzip для веб-сайтов WordPress
Существует несколько различных методов, которые можно использовать для включения сжатия GZIP на ваш веб-сайт WordPress, поэтому давайте погрузимся.
Включить GZIP на Apache
Чтобы включить сжатие GZIP на веб-сервере Apache, вам необходимо отредактировать файл .htaccess. Следующие строки кода необходимо добавить в файл .htaccess. Файл .htaccess можно найти в корне или на сайте WordPress.
<IfModule mod_deflate.c> # Сжатие HTML, CSS, JavaScript, Text, XML и шрифтов AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/vnd.ms-fontobject AddOutputFilterByType DEFLATE application/x-font AddOutputFilterByType DEFLATE application/x-font-opentype AddOutputFilterByType DEFLATE application/x-font-otf AddOutputFilterByType DEFLATE application/x-font-truetype AddOutputFilterByType DEFLATE application/x-font-ttf AddOutputFilterByType DEFLATE application/x-javascript AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE font/opentype AddOutputFilterByType DEFLATE font/otf AddOutputFilterByType DEFLATE font/ttf AddOutputFilterByType DEFLATE image/svg+xml AddOutputFilterByType DEFLATE image/x-icon AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/javascript AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/xml # Удалить ошибки браузера (требуется только для действительно старых браузеров) BrowserMatch ^Mozilla/4 gzip-only-text/html BrowserMatch ^Mozilla/4.0[678] no-gzip BrowserMatch bMSIE !no-gzip !gzip-only-text/html Header append Vary User-Agent </IfModule>
Включить GZIP с плагином WordPress
Вы можете использовать кеширующий плагин, который поддерживает сжатие GZIP, как один из самых простых способов. Например, WP Rocket добавит правила сжатия GZIP в ваш файл .htaccess, и он автоматически будет использовать mod_deflate. Если вы хотите включить это через W3 Total Cache, вам нужно пройти его секцию и включить ее.
Включить GZIP на NGINX
Если вы работаете в NGINX, все, что вам нужно сделать, это добавить следующие строки в конфигурационный файл nginx.conf.
gzip on; gzip_disable "MSIE [1-6].(?!.*SV1)"; gzip_vary on; gzip_types text/plain text/css text/javascript image/svg+xml image/x-icon application/javascript application/x-javascript;
2018-06-24T20:24:06
Лучшие учебники по Wodpress
Подключение к lxc контейнеру Centos 7 по ssh в proxmox
Решил потестировать работу lxc контейнеров в последнем proxmox 5.2. Столкнулся с неожиданной проблемой, выраженной в том, что не получается подключиться по ssh к созданному контейнеру. Решение очень простое, ниже расскажу в чем суть.
Как настроить на Nginx поддержку HTTP/2 на Debian 9
Мы покажем вам, как настроить Nginx с поддержкой HTTP/2 на Debian 9. HTTP/2 является основной версией протокола HTTP-сети и предлагает множество преимуществ. Включение HTTP/2 в Nginx, запущенном на сервере Debian 9, является довольно простой задачей, если вы внимательно следуете руководству ниже. Давайте начнем!
Что такое HTTP/2?
HTTP/2 является основной версией сетевого протокола HTTP. Он основан на экспериментальном протоколе SPDY, разработанном Google. Основная цель HTTP/2 — уменьшить задержку, свести к минимуму служебные данные протокола и добавить поддержку для приоритизации запроса. Это ускоряет загрузку веб-приложений.
Синтаксис высокого уровня, такой как коды состояния, методы, поля заголовков, URI и т. Д., Такие же, как и более ранняя версия HTTP, за исключением того, что существует разница в том, как данные создаются и транспортируются между клиентом и сервером.
Поддержка HTTP/2 была представлена в версии Nginx версии 1.9.5 и доступна во всех более новых версиях. Если вы используете Debian 9 в качестве операционной системы, вам не стоит беспокоиться, можете ли вы использовать HTTP/2 с Nginx или нет. Версия Nginx, включенная в репозиторий Debian 9 по умолчанию, выше 1.9.5, поэтому будет включена поддержка HTTP/2.
Чтобы проверить версию Nginx, установленную на вашем Debian VPS, подключитесь к своему серверу через SSH и выполните следующую команду:
nginx -v
Выход должен быть похож на приведенный ниже:
# nginx -v nginx version: nginx/1.10.3
Если вы получите что-то вроде следующего:
# nginx -v -bash: /usr/sbin/nginx: No such file or directory
Это означает, что Nginx не установлен на вашем Linux VPS, и вам нужно сначала установить его. Для установки Nginx выполните следующие команды:
apt-get update apt-get install nginx
По завершении установки запустите команду выше, чтобы убедиться, что Nginx установлен, и поддерживает HTTP/2.
Настройка Nginx с поддержкой HTTP/2 на Debian 9
HTTP/2 не требует шифрования. Однако в настоящее время ни один браузер не поддерживает HTTP/2 без шифрования, поэтому вам необходимо иметь действительный сертификат SSL, выданный для вашего домена, прежде чем приступать к другим шагам в этом руководстве.
Чтобы включить HTTP/2 в Nginx, откройте серверный блок Nginx по умолчанию, используя текстовый редактор по вашему выбору.
nano /etc/nginx/sites-available/default
Затем добавьте следующие строки:
server {
listen 443 ssl http2 default_server;
server_name domain.com www.domain.com;
root /var/www/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
ssl_certificate /etc/nginx/ssl/domain.com.crt;
ssl_certificate_key /etc/nginx/ssl/domain.com.key;
}
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://$server_name$request_uri;
}
Используйте свое доменное имя server_name, местоположение ваших данных веб-сайта root и путь к вашему SSL-сертификату и к закрытому ключу для ssl_certificate и ssl_certificate_key.
После того, как вы закончите, сохраните файл и закройте его. Проверьте, есть ли синтаксические ошибки в конфигурации Nginx, используя следующую команду:
nginx -t
Если все в порядке с конфигурацией, вывод должен быть похож на следующий:
# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
В противном случае ошибки будут указаны на выходе, чтобы вы могли легко выяснить, в чем проблема.
После того, как вы уверены, что нет никаких проблем с конфигурацией в Nginx, вы можете перезапустить службу, используя следующую команду:
systemctl restart nginx.service
Одна вещь, которую мы можем улучшить здесь, — это ключевая безопасность обмена. По умолчанию Nginx использует ключ с 1028 бит Diffie-Hellman, и мы можем создать новый, более безопасный. Чтобы создать новый ключ Diffie-Hellman, выполните следующую команду:
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048
Процесс займет пару минут. После создания ключа откройте серверный блок Nginx по умолчанию и добавьте следующую строку ssl_certificate_key:
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
Затем перезапустите Nginx, чтобы изменения вступили в силу.
Если у вас перестал работать сервер в Иркутске, выбирай сервисный центр ISIB, там вам проведут бесплатную диагностику и техническую консультацию, заменят на качественные оригинальные комплектующие, дадут гарантию до 2 лет на выполненные работы и замененные детали.
Если вы хотите настроить Nginx с поддержкой HTTP/2 для другого имени домена, вы можете ознакомиться с нашим руководством по настройке серверных блоков в Nginx.
2018-06-21T16:22:13
Настройка Debian