Tiểu Luận Tìm hiểu công cụ Web craking và Password craking

Contents
Phần 1:Công cụ Web Hacking. 3
I. Tổng quan. 3
II. VULNERABILITY SCANNERS(máy quét lỗ hổng) 3
1) Tổng quan về máy quét lỗ hổng. 4
2) Nikto. 6

3) LibWhisker 13
III. Kiểm tra ứng dụng. 15
1) Paros Proxy. 15
2) Burp Proxy. 22
3) Wget 25
Phần 2: Password Cracking / Brute-Force Tools. 27
I. Tổng quan. 27
II. PAM và mật khẩu trên Unix. 28
1) Thực hiện trên Linux. 28
2) Đối số của Cracklib. 30
3) OpenBSD login.conf. 32
4) John the ripper 34
Tài liệu tham khảo. 46





Phần 1:Công cụ Web Hacking I. Tổng quan Bảo mật Server có thể được chia thành hai loại lớn: kiểm tra máy chủ cho các lỗ hổng phổ biến và thử nghiệm các ứng dụng web. Một Server sẽ được cấu hình theo danh sách kiểm tra trước khi nó được triển khai trên Internet:
· Secure network configuration(Cấu hình mạng an toàn) : thiết lập tường lửa hoặc hạn một thiết bị tương tự hạn chế lưu lượng truy cập đến các cổng cần thiết (có thể là cổng 80 và cổng 443).
· Secure host configuration(Cấu hình an toàn máy chủ) cấu hình hệ điều hành luôn được cập bản vá bảo mật, chức năng kiểm tra được kích hoạt, và chỉ có các quản trị viên(administrator) có thể truy cập vào hệ thống.

· Secure web server configuration(Cấu hình an toàn server) cài đặt mặc định của Server đã được xem xét, các tập tin mẫu đã được gỡ bỏ, và server hoạt động trong một tài khoản người dùng có hạn chế.
Tất nhiên, một danh sách ngắn như vậy không bao gồm các chi tiết cụ thể của một sự kết hợp Apache / PHP hoặc các chi tiết của tất cả các khuyến cáo của Internet Information Server (IIS) trong việc thiết lập cài đặt, nhưng nó phải phục vụ như là cơ sở cho chính sách xây dựng một Server mạnh . Một máy quét các lỗ hổng cũng nên được sử dụng để xác minh chính sách xây dựng Server.
Bảo mật của ứng dụng web cần được quan tâm là tốt. Chương này tập trung vào các công cụ được sử dụng để kiểm tra các lỗ hổng phổ biến cho một Server, nhưng số ít các công cụ đề cập ở đây giải quyết các khái niệm về thử nghiệm ứng dụng web thực tế vể vấn đề an ninh chứ không phải là máy chủ ứng dụng được cài đặt.