Acunetix Web Vulnerability Scanner. Изменение http-заголовков при помощи Privoxy. (Acunetix Web Vulnerability Scanner. Changing http-headers using Privoxy)

Следующая статья написана для специалистов по it-безопасности и пентестеров, использующих в своей работе при проведении пентестов известный инструмент под названием Acunetix Web Vulnerability Scanner (AWVS). Вероятно многие из них сталкивались с неприятной особенностью данной программы - оставлять при сканировании множество информации о себе.


В частности в http-заголовках AWVS присутствуют следующие поля:
Acunetix-Aspect-Queries: filelist;aspectalerts 
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c 
Acunetix-Aspect: enabled 
Accept: */*
Acunetix-User-Agreement: http://www.acunetix.com/wvs/disc.htm 
Acunetix-Scanning-Agreement: Third Party Scanning PROHIBITED 
Acunetix-Product: WVS/8.0 (Acunetix Web Vulnerability Scanner - NORMAL) 
User-Agent: Opera/9.80 (Windows NT 6.0; U; en) Presto/2.8.99 Version/11.10
Accept-Encoding: gzip,deflate
Connection: close
Host: headers.cloxy.net
Cookie: PHPSESSID=e7a36f2d4b0817fb99883b16ab0b8ee9; email=1; id_user=1; vbf_sessionhash=1
Cache-Control: no-cache
Pragma: no-cache 

Данная  особенность работы  AWVS  реализована в соответствии с пользовательским соглашением программы http://www.acunetix.com/vulnerability-scanner/acunetix-user-agreement/

Следует отметить, что пользователь имеет возможность изменять или вовсе убирать различные поля http-заголовка,  только при использовании  фунцкции AWVS HTTP Editor , однако в режиме  главной функции программы -  в режиме  сканирования веб-ресурсов  данная возможность отсутствует.


Тот факт, что никакие настройки AWVS не предусматривают  измененений http-заголовков также упоминается в Твиттере компании Acunetix:




Описанная выше особенность функционирования AWVS при определенных обстоятельствах может оказаться серьезной помехой  во время проведения пентеста,  поскольку в данном случае сам факт сканирования веб-ресурса  скорее всего не останется незамеченным администраторами сервера и как правило определяется со стопроцентной вероятностью (как минимум по записям запросов в лог-файлах веб-сервера).  Разумеется, что при этом определяется и сам инструмент сканирования - AWVS.  Более того, на ряде веб-серверов доступ для сканирования программой AWVS может быть легко заблокирован по характерным сигнатурам в http-заголовках и в таком случае сканирование ресурса сканером  AWVS  окажется невозможным.


Решение

Самым простым решением данной проблемы является изменение http-заголовков методом перенаправления http-запросов  через  сторонее приложение.  В качестве такого стороннего приложения была выбрана программа  Privoxy, представляющая  собой локальный прокси-сервер. (Многие пользователи уже имеют опыт использования данной программы при работе в связке с TOR).


После установки программы Privoxy  в настройках AWVS ->  Lan Settings  следует указать использование http прокси
127.0.0.1: 8118


Далее в конфигурационном файле Privoxy -   config.txt  ищем строку активирования пользовательского фильтра:  
filterfile user.filter      # User customizations 
Обычно данная строка уже присутствует по умолчанию .  Если данная строка отстутствует, ее необходимо добавить.

Далее следует в текстовом редакторе открыть файл user.filter  и добавить следущий фильтр:
CLIENT-HEADER-FILTER: acunetix-control Removes Acunetix headers
s/^Acunetix-product: \s*.*//i
s/^Acunetix-Scanning-agreement: \s*.*//i
s/^Acunetix-User-agreement: \s*.*//i
s/^Acunetix-Aspect: \s*.*//i
s/^Acunetix-Aspect-Queries: \s*.*//i
s/^Acunetix-Aspect-Password: \s*.*//i
За тем следует открыть файл user.action  и добавить правило для активации фильтра
{ +client-header-filter{acunetix-control} }
/


В итоге при работе AWVS получаются «чистые» http-заголовки:

Accept: */*
User-Agent: Opera/9.80 (Windows NT 6.0; U; en) Presto/2.8.99 Version/11.10
Accept-Encoding: gzip,deflate
Connection: close
Host: headers.cloxy.net
Cookie: PHPSESSID=e7a36f2d4b0817fb99883b16ab0b8ee9; email=1; id_user=1; vbf_sessionhash=1
Cache-Control: no-cache
Pragma: no-cache 



Comments :

0 коммент. to “Acunetix Web Vulnerability Scanner. Изменение http-заголовков при помощи Privoxy. (Acunetix Web Vulnerability Scanner. Changing http-headers using Privoxy)”

Отправить комментарий