fbpx

Análise de vulnerabilidade em sites com HStrike

As aplicações web vem crescendo muito e acabam sendo um dos maiores alvos dos hackers, e nesse artigo mostraremos como realizar análise de vulnerabilidade em um site.

Utilizaremos o HStrike que é uma plataforma de pentest em nuvem da Hacker Security, lançada em novembro de 2018 e já com mais de 5.000 usuários ativos.

O HStrike foi desenvolvido com objetivo de automatizar e facilitar o trabalho de profissionais da área de segurança da informação.

Vamos demonstrar como o HStrike pode encontrar vulnerabilidades em uma aplicação web de forma rápida, fácil e objetiva.

Usando como alvo uma aplicação própria para esta finalidade o: http://testphp.vulnweb.com/

Iremos encontrar vulnerabilidades com o HNmap e Nikto, ambas reescritas e incluídas no HStrike. Então faremos um teste aleatório para demonstrar o trabalho feito das ferramentas contidas na aplicação.

Encontrando Vulnerabilidades com HNmap

Após acessar a HStrike, na aba lateral, com as categorias, selecione Coleta de Informações e em seguida HNmap para habilitar a ferramenta.

Na aba superior, já na ferramenta HNmap selecione NSE SCRIPT e em seguida Selecione o Tipo do Scan “Vuln Script” e insira a URL ou IP do alvo e clique em Consultar e veja os resultados.

Será apresentado diversas informações do alvo, assim como as vulnerabilidades encontradas, conforme a figura:

Escolhendo tipo de scan
Inserindo alvo
Resultados das vulnerabilidades encontradas

Coletando Vulnerabilidades com o Nikto

Para aprofundar ainda mais nosso campo de busca, utilizaremos o Nikto para procurarmos vulnerabilidades em servidores.

No HStrike, o Nikto foi otimizado, de forma a funcionar mais rápido do que no Parrot Security ou Kali Linux e é tão eficiente quanto.

Abra a aba de Análise de Vulnerabilidade -> Nikto > Vá até TUNING > Select Scan Type: SQL Injection -> Insira o IP ou a URL do alvo -> Clique em Consultar e veja os resultados:

Escolhendo tipo de scan
Resultado

Concluindo

Como desmontramos o HStrike é uma poderosa plataforma que reúne diversas ferramentas para pentest, as mais usadas no dia a dia, sobre o poder de nossos servidores, de maneira que facilita e agiliza a forma como conduzir um pentest.




Menu