זהו הפקודה ratproxy שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ratproxy - כלי הערכת אבטחה של אפליקציות אינטרנט פסיביות
תַקצִיר
ratproxy [-w קובץ לוג] [-v logdir] [-p נמל] [-d תחום] [-P מארח: נמל]
[-xtifkgmjscael2XCr]
תיאור
Ratproxy הוא כלי לביקורת אבטחה של יישומי אינטרנט פסיביים למחצה. זה
נועד להשלים סורקים פעילים ופרוקסי ידניים הנפוצים יותר עבור משימה זו,
והוא מותאם במיוחד לזיהוי מדויק ורגיש, ואוטומטי
ביאור, של בעיות פוטנציאליות ודפוסי עיצוב רלוונטיים לאבטחה המבוססים על
תצפית על תעבורה קיימת, ביוזמת המשתמש, בסביבות web 2.0 מורכבות.
אפשרויות
-w logfile - כתוב תוצאות לקובץ שצוין (ברירת מחדל: stdout)
-v logdir - כתוב עקבות HTTP לספרייה שצוינה (ברירת מחדל: אין)
-p יציאה - האזנה ביציאת TCP מותאמת אישית (ברירת מחדל: 8080)
-d דומיין - נתח בקשות לדומיינים שצוינו בלבד (ברירת מחדל: הכל)
-P host:port - השתמש בפרוקסי במעלה הזרם עבור כל הבקשות (פורמט host:port)
-r - קבל חיבורים מרוחקים (ברירת מחדל: 127.0.0.1 בלבד)
-l - השתמש באורך התגובה, לא ב-checksum, לבדיקת זהות
-2 - בצע בדיקת זהות של שניים ולא אחד
-e - בצע בדיקות כותרות מטמון פדנטיות
-x - רישום את כל המועמדים ל-XSS
-t - רישום את כל המועמדים למעבר ספריות
-i - רישום את כל קבצי ה-PNG המוצגים בשורה
-f - רישום את כל יישומי הפלאש לניתוח (הוסף -v לפרק)
-s - רישום את כל בקשות ה-POST לניתוח
-c - רישום את כל כתובות האתרים של הגדרות העוגיות לניתוח
-g - בצע בדיקות אסימון XSRF על כל בקשות ה-GET
-j - דווח על קונסטרוקציות מסוכנות של Javascript
-m - רישום את כל התוכן הפעיל שהפניה אליו בדומיינים
-X - לאמת באופן משבש הגנות XSRF, XSS
-C - נסה לתקן אוטומטית תופעות לוואי מתמשכות של -X
-k - סמן בקשות HTTP כגרועות (עבור יישומי HTTPS בלבד)
-a - דווח ללא הבחנה על כל כתובות ה-URL שבהן ביקרו
דוגמאות
הגדרות לדוגמה המתאימות לרוב המבחנים:
1) מילולית נמוכה: -v -w -d -lfscm
2) מילוליות גבוהה: -v -w -d -lextifscgjm
3) בדיקה אקטיבית: -v -w -d -XClfscm
מְרוּבֶּה -d מותרות אפשרויות. עיין בתיעוד למידע נוסף.
השתמש ב-ratproxy באינטרנט באמצעות שירותי onworks.net
