Тестирование на проникновение в больших инфраструктурах и проектах имеет свою специфику и поэтому требует особого подхода. Например, в одной из тестируемых компаний, мы нашли с помощью Masscan почти 600 работающих веб-серверов. Для разведки нужно было зайти на каждый из серверов, посмотреть какие Web-приложения на каких серверах работают и выбрать подходящие цели для дальнейшего тестирования, но на этот просмотр ушло бы несколько дней, которые можно потратить с большей пользой. Мы решили, что просмотреть 600 скриншотов гораздо проще, чем 600 сайтов. Поэтому была написана утилита MassScreenshoter, которая позволяет сделать снимки страниц для большого количества сайтов.
Для работы утилиты требуется наличие PhantomJS, который в свою очередь требует запуска из графической оболочки (GNOME,KDE,Xfce,Mate и т.д.) или любой оконной системы.
Установим PhantomJS и Git:
apt-get install phantomjs git
Скрипт MassScreenshoter можно сказать по адресу: https://github.com/BlackDiverX/MassScreenshoter.
Скопируем скрипт MassScreenshoter с GitHub:
git clone https://github.com/BlackDiverX/MassScreenshoter.git
перейдем в директорию MassScreenshoter:
cd MassScreenshoter
Теперь нужно создать текстовый файл со списком сайтов (по одному сайту на каждой строке). Пример такого списка – sites.txt в папке со скриптом.
И запустить скрипт:
phantomjs mscreens.js sites.txt
Результатом выполнения будет папка sites-дата_в_unix_формате с набором снимков сайтов.
Если требуется сделать снимок всей Web-страницы, а не только области 1366x768px, то нужно указать параметр full.
Пример:
phantomjs mscreens.js sites.txt full
После выполнения скрипта остается только провести анализ скриншотов и выбрать интересующие цели для дальнейшего тестирования.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|