Обзор бесплатных инструментов для поиска веб-уязвимостей для 1С-Битрикс и Bitrix24

В сфере искусственного интеллекта произошло заметное событие. ersilh0x 31 минуту назад Обзор бесплатных инструментов для поиска веб-уязвимостей для 1С-Битрикс и Bitrix24 Простой 6 мин 629 Информационная безопасность * 1С-Битрикс * Существует немало бесплатных инструментов, способных выявлять веб-уязвимости, обнаруживать ошибки конфигурации и автоматизировать проверки безопасности. Если посмотреть на мировую IT-индустрию, огромный вклад в ее развитие вносит именно Open Source. В этой статье рассмотрим ряд бесплатных инструментов, которые можно применять для анализа безопасности сайтов на «1С-Битрикс» и Bitrix24 и других веб-приложений.

В конце немного расскажу про BitrixProbe, который начал создавать и пользоваться недавно как дополнение к сканированию с MaxpatrolVM. NiktoNikto это один из старейших бесплатных сканеров веб-серверов. Он проверяет ресурс на наличие потенциально опасных файлов, административных интерфейсов, устаревших компонентов и типовых ошибок конфигурации.

Технические детали

Nikto умеет:работать по HTTP и HTTPS;проверять нестандартные порты;определять используемое серверное ПО;искать опасные и служебные файлы;выявлять небезопасные HTTP-заголовки;работать через прокси;использовать плагины и различные режимы проверок. Сканер можно применять на начальном этапе обследования сайта. Например, он может обратить внимание на доступные служебные страницы, резервные копии, тестовые файлы или проблемы конфигурации веб-сервера.

Официальный репозиторий: github. com/sullo/niktoNucleiNuclei это быстрый и расширяемый сканер уязвимостей от ProjectDiscovery. Главная особенность Nuclei — использование YAML-шаблонов.

Каждый шаблон описывает отдельную проверку: последовательность запросов, условия совпадения, уровень опасности и дополнительные метаданные. С помощью Nuclei можно искать:известные уязвимости;ошибки конфигурации;открытые административные панели;чувствительные файлы;стандартные учетные данные;информационные утечки;проблемы сетевых сервисов. Для «1С-Битрикс» и Bitrix24 можно разрабатывать отдельные шаблоны, которые проверяют наличие служебных скриптов, публичных файлов, уязвимых компонентов и признаков конкретных уязвимостей.

Отраслевые последствия

Перед запуском незнакомого шаблона желательно изучить его содержимое. Пентестеры не редко используют данный сканер при внешнем сканировании. На github можно поискать готовые шаблоны под Bitrix, некоторые пентестеры их там выкладывают.

Официальный репозиторий: github. com/projectdiscovery/nucleiДокументация: docs. io/opensource/nuclei/overviewBurp Suite CEBurp Suite один из наиболее известных наборов инструментов для анализа безопасности веб-приложений.

Бесплатная Community Edition не является Open Source, но предоставляет основные возможности для ручной работы с HTTP- и HTTPS-трафиком. Burp Suite позволяет:перехватывать запросы браузера;изменять параметры, заголовки и cookies;повторно отправлять запросы через Repeater;анализировать авторизацию и управление сессиями;проверять загрузку файлов;исследовать API;тестировать бизнес-логику приложения.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.