Skaniki (сканер структуры сайта) - помощь на этапе сбора информации.

Discussion in 'Уязвимости' started by c0n Difesa, 29 Jan 2010.

  1. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    [​IMG]

    Важной задачей анализа является изучение составных частей объекта и определение их функций в общей модели. При проведении теста на проникновение или аудита одним из ключевых этапов является сбор информации об объекте исследования с целью последующего анализа и выявления потенциальных брешей в его структуре. По этим причинам в настоящее время инструментам сбора и обработки информации уделяется все больше внимания.

    Мы рады представить Вам инструмент, разработанный в рамках проекта Defec Tech (defec.ru) – Skaniki (_http://defec.ru/scaner). Онлайн-сервис содержит в себе ряд полезных аудитору (пен-тестеру), администратору и просто любопытному пользователю утилит: сканер структуры сайта на основе выдачи поисковика Google (в том числе файлов, запрещенных к индексированию), получение списка сайтов-соседей (Reverse IP; полезная информация при проведении атаки типа «Reverse IP Lookup»), получение информации о домене и его владельце.

    Хочу сказать, что идея не новая и является аналогом проекта от уважаемого Madnet’a - GmadSS. Однако, утилита Skaniki имеет заметное преимущество в скорости выдачи результата, что для кого-то в некоторых случаях является решающим фактором (например, в случаях разработки стороннего программного обеспечения на основе данной утилиты). Думаю, что в любом случае приятно всегда иметь аналог полезного инструмента ;).
     
    #1 c0n Difesa, 29 Jan 2010
    Last edited: 15 Mar 2010
    2 people like this.
  2. kas1732_

    kas1732_ New Member

    Joined:
    5 Nov 2008
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    рЫклама!
    их так хватает
     
  3. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    Действительно, данная заметка является «рекламой» данной разработки, а как иначе люди узнают о его существовании? ;)

    Чего действительно хватает - так это оффтопика.

    Прошу отписываться о багах и недочетах приложения, а так же не стесняться и высказывать свои пожелания (замечания), касающиеся проекта. Любая критика приветствуется.
     
  4. HackUA

    HackUA New Member

    Joined:
    10 Dec 2009
    Messages:
    26
    Likes Received:
    2
    Reputations:
    0
    грамматическая ошибка на странице /scaner/scaner.php

    Нечего не нашло, хотя сайты соседи есть.

    - Про сайт нечего не нашло, домен в зоне .com
     
  5. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,594
    Likes Received:
    1,242
    Reputations:
    273
    Сканер сайтов на папки by Pashkela, 2009 (thx 2 oRb) и не надо парится
     
  6. YuNi|[c

    YuNi|[c Elder - Старейшина

    Joined:
    17 Sep 2006
    Messages:
    297
    Likes Received:
    33
    Reputations:
    18
    спс в странички результатов надо добавить линк на новую сканированию
     
  7. Дикс

    Дикс Elder - Старейшина

    Joined:
    16 Apr 2006
    Messages:
    1,444
    Likes Received:
    228
    Reputations:
    26
    проверил freedomscripts.org


    также, если неправильно ввести капчу - все чекбоксы обнуляются, приходится отмечать их снова
     
  8. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,043
    Likes Received:
    1,138
    Reputations:
    350
    Накидай сюда линков на онлайн сервисы, думаю и десяти не найдёшь
    Не путай. Сканеры по словарю ломятся на сайт и срут в логи, если уж лезть на сайт, то есть более серьёзные и профессиональные вещи. Этот лезет в гугл, а это две большие разницы

    Или всё-же на сайт, автор? :)
     
    #8 Kakoytoxaker, 31 Jan 2010
    Last edited: 31 Jan 2010
  9. Gorev

    Gorev Level 8

    Joined:
    31 Mar 2006
    Messages:
    2,594
    Likes Received:
    1,242
    Reputations:
    273
    jokester твое слово закон, по поводу логов ты прав... но и такой менее серьезный сканер от Пашкелы много раз меня выручал когда я лез на сайт...
     
  10. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    2 jokester

    robots.txt читает с сайта.
     
    #10 c0n Difesa, 31 Jan 2010
    Last edited: 31 Jan 2010
  11. Nikituki

    Nikituki New Member

    Joined:
    14 Mar 2009
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    Странно, у меня все работает.
    robots.txt сканируется на сайте, но эту функцию можно не использовать, если не нужно светиться в логах.

    2HackUA, сайт с которого берутся реверсип и хуиз тупить стал, если так будет продолжается, то изменим.
     
  12. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    В настоящее время в связи с тем, что при установленных опциях "Reverse IP" ("Вывод списка сайтов-соседей на сервере") и "Who Is" ("Получение дополнительной информации о домене") скрипт обращается к стороннему сервису, могут быть проблемы с получением соответствующей информации. Приносим извинения за нестабильную работу и принимаем соответствующие меры для устранения проблемы.

    Спасибо всем отписавшимся в этой теме.
     
  13. Krist_ALL

    Krist_ALL Banned

    Joined:
    14 Jan 2009
    Messages:
    457
    Likes Received:
    193
    Reputations:
    24
    Не тестил сие чудо, но могу сказать следующее :
    1. Всеми хваленая тулза пашкеллы дает оочень много ложных срабатываний.
    1.1 Словарь в тулзе пашкеллы мой + его несколько директорий. Так что не надо говорить что тулза пашкелы the best.

    2. И че что в логи срет? Мне кажется это не проблема, и админ невтыкнет что его сканят, причем идет же все по словарю а не прямой перебор директорий аля ab ac ad. Прямым перебором сайты повесить реально.



    ПОТЕСТИЛ СИЮ ФИГНЮ:

    1. http://defec.ru/scaner/index.php?kapcha=false&sitename=%22%3E%3Cscript%3Ealert%281%29%3C/script%3E

    2. Что за куева капча? 20 раз вводил и всегда неерный код! Норм цифры сделай. да и когда цифры норм ввожу 100% верно часто пишет неверный код.
     
    #13 Krist_ALL, 31 Jan 2010
    Last edited: 31 Jan 2010
  14. Nikituki

    Nikituki New Member

    Joined:
    14 Mar 2009
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    Ну тут он ругается не на капчу, а на "%22%3E%3Cscript%3Ealert%281%29%3C/script%3E" ;)
    Просто в выводе это забыл написать=)
     
  15. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,191
    Likes Received:
    996
    Reputations:
    155
    Везде ты насрать сумеешь... Если уж ты такой бриллиантовый, почему сам не сделаешь чего-то стоящего, только унижаешь других.
     
    1 person likes this.
  16. Krist_ALL

    Krist_ALL Banned

    Joined:
    14 Jan 2009
    Messages:
    457
    Likes Received:
    193
    Reputations:
    24
    Я скоро сделаю)
    сканеров масса. у каждого есть свои недостатки и плюсы.
    идеального нет.
    я просто говорю как есть.не сру.
     
  17. Nikituki

    Nikituki New Member

    Joined:
    14 Mar 2009
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    fixed
     
  18. m0Hze

    m0Hze Elder - Старейшина

    Joined:
    1 Nov 2008
    Messages:
    304
    Likes Received:
    643
    Reputations:
    208
    В таких видах сканирования,где нужна хоть маломальски тупая система "Искуственного Интелекта",нужно втыкивать Нс(нейр.сети),и уже на выдаче гугла обучать их.И тогда сканер станет мощным оружием в руках хацкера.
     
  19. DeepBlue7

    DeepBlue7 Elder - Старейшина

    Joined:
    2 Jan 2009
    Messages:
    359
    Likes Received:
    50
    Reputations:
    12
    Отличная вещь ! Спасибо ! +1
     
  20. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    288
    Likes Received:
    289
    Reputations:
    195
    С капчей беда какая то, ввелась хз с какого раза.

    И поле site name страдает XSS
    http://defec.ru/scaner/index.php?kapcha=false&sitename=%3E%3Cscript%3Ealert(123)%3C/script%3E :D
     
    #20 h00lyshit!, 11 Feb 2010
    Last edited: 11 Feb 2010
Loading...