So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Die Abwehr eines Hackerangriffs gehört zu den wichtigsten Aufgaben eines Systemadministrators. Dies ist insbesondere bei Websites erforderlich, die sensible Kundeninformationen enthalten und eine große Anzahl von Benutzern haben. Daher ist es für einen Systemadministrator wichtig, proaktive Maßnahmen zu ergreifen, um Schwachstellen auf seinen Websites zu finden und zu beheben.

Ein Tool, das Websites auf Sicherheitslücken scannen kann, ist der Vega Vulnerability Scanner. Dabei handelt es sich um eine kostenlose Open-Source-Webtestsoftware, die vom Sicherheitsunternehmen Subgraph entwickelt wurde. Dieses Tool verfügt über einige interessante Funktionen wie einen Proxy-Scanner, aber der Artikel konzentriert sich auf den Aspekt automatisierter Sicherheitstests, der dabei helfen kann, SQL-Injection, Cross-Site-Scripting (XSS)-Schwachstellen , versehentliche Offenlegung sensibler Informationen und viele andere Schwachstellen zu finden und zu validieren.

Es gibt ähnliche Webanwendungsscanner wie Vega, wie den Burp Suite Scanner von Portswigger und den Security Scanner von Netsparker, die beide über erweiterte Schwachstellenscanner verfügen, aber der Scanner von Vega kann viele der gleichen Aufgaben ausführen. Er ist völlig kostenlos. Der Scanner von Vega hilft dabei, den Schweregrad von Schwachstellen in Webanwendungen zu finden und zu verstehen, indem er bei jedem Scan nützliche Ressourcen klar und prägnant anzeigt.

So scannen Sie Websites mit Vega auf Sicherheitslücken

Schritt 1: Vega installieren

Da der Vega Vulnerability Scanner auf den meisten Versionen von Kali Linux in der Regel vorinstalliert ist, sollten Sie das Kali-System verwenden. Wenn Sie nicht sicher sind, ob auf Ihrem Kali-System Vega eingerichtet ist oder nicht, können Sie den Befehl apt-get ausführen , wie im Terminalfenster unten gezeigt. Der Benutzer erhält eine Meldung, dass es installiert ist. Wenn dies nicht der Fall ist, verwenden Sie diesen Befehl zur Installation.

apt-get update && apt-get install vega

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Wenn Sie BlackArch verwenden, können Sie Vega Vulnerability Scanner mit dem folgenden Befehl installieren. BlackArch verwendet nicht den APT-Paketmanager, daher sollten Benutzer Pacman verwenden.

pacman -S vega

Schritt 2: Starten Sie Vega

In Kali Linux werden Tools automatisch in Kategorien organisiert. Klicken Sie also auf „ Anwendungen “, bewegen Sie den Mauszeiger über die Kategorie „ Webanwendungsanalyse “ und klicken Sie auf „ Vega “. Abhängig von der Verwendung von Kali-Versionen wie XFCE kann das Anwendungsmenü etwas anders aussehen. Sie können auch einfach im Bildschirm „ Anwendungen anzeigen “ nach „ Vega “ suchen .

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Schritt 3: Vega konfigurieren

Nachdem Sie die Anwendung zum ersten Mal gestartet haben, sollten Sie sich die verfügbaren Optionen ansehen. Klicken Sie in der oberen linken Ecke auf das Menü „ Fenster “ und sehen Sie sich dann „ Einstellungen “ an.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Vega-Proxy-HTTP-Anfrage (optional)

Wenn Sie Vega anonym scannen und alle Verbindungen als Proxy verwenden möchten, wählen Sie unter „ Allgemein “ die Option „ SOCKS-Proxy aktivieren “ und geben Sie eine Proxy-Adresse und einen Proxy-Port ein. Wenn Sie Tor verwenden, geben Sie die Standard-Tor-Adresse und den Standard-Port ein (127.0.0.1:9050). Dadurch wird die Scanquelle ausgeblendet. Wenn Sie einen kostenlosen oder Premium-Proxy-Dienst nutzen, wählen Sie die gewünschte Adresse und den gewünschten Port aus.

Verwenden Sie den Benutzeragenten von Tor (optional)

Wenn Sie sich entscheiden, Vega über Tor zu scannen, können Sie auch darüber nachdenken, den Benutzeragenten von Vega auf den Benutzeragenten des Tor-Browsers umzustellen. Dies wird Benutzern den Zugriff auf einige (aber nicht alle) Websites erleichtern, die Tor-HTTP-Anfragen blockieren.

Um den Vega-Benutzeragenten zu ändern, klicken Sie auf die Kategorie „ Scanner “ und geben Sie neben „Benutzeragent“ den Tor-Browser-Benutzeragenten ein. Klicken Sie dann auf „ Übernehmen “ und „ OK “, um die Änderungen zu speichern. Nachfolgend finden Sie den aktuellen Tor-Browser-Benutzeragenten mit Stand Februar 2018.

Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Der Benutzeragent des Tor-Browsers ändert sich mit jedem größeren Update des Tor-Browsers. Um den neuesten Benutzeragenten zu finden, öffnen Sie einen aktuellen Tor-Browser und geben Sie about:config in die URL-Leiste ein. Wenn eine Warnmeldung angezeigt wird, wählen Sie „ Ich akzeptiere das Risiko “ und geben Sie dann „useragent.override“ in die Suchleiste ein.

  • „About: Config“-Tipps verbessern den Firefox-Browser

Durch Doppelklicken auf den Eintrag wird angezeigt, sodass der Benutzer die Zeichenfolge des Benutzeragenten kopieren kann. Alternativ können Sie auch mit der rechten Maustaste klicken und „ Kopieren “ auswählen.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Durchschnittliche HTTP-Anfrage (optional)

Eine weitere Sache im Scanner-Menü, die Benutzer möglicherweise ändern möchten, ist die Option Maximale Anzahl zu sendender Anfragen pro Sekunde . Standardmäßig ist die Software auf 25 Anfragen/Sekunde eingestellt.

Je nach Szenario kann diese Anfrage pro Sekunde zu viel oder zu wenig sein. Vorausgesetzt, Sie haben die Berechtigung, eine Website mit Vega zu scannen, sind zehn Anfragen pro Sekunde wahrscheinlich zunächst eine gute Zahl. Für Websites, die Sie besitzen, sind 100 Anfragen pro Sekunde möglicherweise angemessener. Die benötigte Menge liegt ganz im Ermessen des Nutzers.

Sie werden keinen Anstieg der Verarbeitungsleistung bemerken, wenn Sie mehr Anfragen pro Sekunde verwenden, daher ist es sicher, diese Zahl höher festzulegen. Vega ist kein DDoS-Tool, die Internetbandbreite und die Website-Bandbreite reduzieren automatisch die Anfragen.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Die Listener- Einstellungen in „ Proxy “ sind Optionen, die nichts mit Scannern zu tun haben. Die Option „ Debug “ im Abschnitt „Scanner“ ist für Vega-Entwickler.

Schritt 4: Scannen Sie die Website mit Vega

Nachdem Vega nun installiert und konfiguriert ist, können Sie mit dem Scannen der Site beginnen. Um den Scanvorgang zu starten, öffnen Sie oben links das Menü „ Scannen “ und klicken Sie auf „ Neuen Scan starten “. Das Fenster „Scanziel auswählen“ wird angezeigt. Geben Sie die URL, die Sie scannen möchten, in das Feld unter „Scanziel“ ein und klicken Sie dann auf „ Weiter “.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Vega verfügt über Dutzende Module, die darauf ausgelegt sind, eine Vielzahl gängiger Webserver-Schwachstellen wie SQL-, XSS- und XML-Injection-Schwachstellen zu finden. Wenn Sie alle Scanmodule aktivieren möchten, wählen Sie sie einfach alle aus und klicken Sie auf „ Fertig stellen “, um mit dem Scannen der Website zu beginnen. Wenn nicht, deaktivieren Sie beim ersten Durchlauf die Module, die Sie nicht interessieren.

Hinweis: Wenn keine Anpassung der Authentifizierungsoptionen oder Parameteroptionen erforderlich ist , wählen Sie einfach „ Fertig stellen “, nachdem Sie die Module ausgewählt haben.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Dieser Scan kann je nach Größe der Site und den zuvor festgelegten Anforderungen pro Sekunde zwischen 2 und 8 Stunden dauern. Benutzer wissen, dass ein Scan begonnen hat, wenn die Website auf der Registerkarte „Scan-Warnungen“ angezeigt wird . Sobald der Scan abgeschlossen ist, erhalten Sie einen detaillierten Bericht über die gefundenen Sicherheitslücken.

Schritt 5: Interpretieren Sie Vegas Ankündigung

Sobald der Scan abgeschlossen ist, präsentiert Vega eine klare und prägnante Zusammenfassung der Warnungen. Wenn Vega „hohe“ Schwachstellen meldet, müssen Benutzer nicht in Panik geraten. Vegas-Module sind sehr empfindlich und generieren manchmal Fehlalarme für Schwachstellen, die möglicherweise gar nicht existieren. Manchmal ist das keine schlechte Sache. Daher sollten Sie den Bericht durchgehen und jede Warnung manuell überprüfen.

Vega leistet hervorragende Arbeit und erklärt, was jede Warnung bedeutet, wie sie sich auf die Website auswirkt und wie die Schwachstellen behoben werden können. Es enthält auch nützliche Referenzen, die Benutzern helfen können, den Umgang mit Schwachstellen besser zu verstehen. Wenn Sie auf eine der Warnungen klicken, werden zahlreiche nützliche Informationen angezeigt.

So scannen Sie Websites mit Vega unter Kali Linux auf potenzielle Sicherheitslücken

Vega ist ein großartiges Tool, das Sicherheitsforschern hilft, Pentest-Sicherheitsbewertungen besser zu verstehen. Eine große Auswahl an Modulen ermöglicht es auch neuen Benutzern, sich eingehend mit potenziellen Sicherheitsrisiken für Websites zu befassen und deren Schwere zu beurteilen. Jeder, der daran interessiert ist, die Website-Sicherheit zu verbessern und seine Web-Hacking-Fähigkeiten zu verbessern, wird Vega und seine Benutzerfreundlichkeit lieben.

Mehr sehen:


So entfernen Sie den Urheberrechtshinweis in der rechten Ecke des Bildschirms unter Windows 10

So entfernen Sie den Urheberrechtshinweis in der rechten Ecke des Bildschirms unter Windows 10

Sehen Sie in der rechten Ecke des Bildschirms eine Windows 10-Aktivierungsbenachrichtigung? In diesem Artikel erfahren Sie, wie Sie den Copyright-Anfragehinweis unter Windows 10 löschen.

Anleitung von AZ zur Installation von Windows 10 Build 14393.222

Anleitung von AZ zur Installation von Windows 10 Build 14393.222

Kürzlich hat Microsoft das neueste kumulative Update für Windows 10-PC-Benutzer namens Build 14393.222 veröffentlicht. Dieses für Windows 10 veröffentlichte Update behebt hauptsächlich Fehler basierend auf Benutzerfeedback und verbessert die Leistung des Betriebssystems.

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann eine gute Lösung sein.

So erstellen Sie eine Windows-Taste, wenn Ihre Tastatur nicht verfügbar ist

So erstellen Sie eine Windows-Taste, wenn Ihre Tastatur nicht verfügbar ist

Wenn Sie lieber eine alte klassische Tastatur wie das IBM Model M verwenden möchten, die keine physische Windows-Taste enthält, können Sie ganz einfach weitere hinzufügen, indem Sie sich eine Taste ausleihen, die Sie nicht oft verwenden. .

3 Möglichkeiten, alle Ereignisprotokolle in Windows 10 schnell zu löschen

3 Möglichkeiten, alle Ereignisprotokolle in Windows 10 schnell zu löschen

Manchmal müssen Sie möglicherweise alle alten Ereignisprotokolle auf einmal löschen. In dieser Anleitung zeigt Ihnen Quantrimang.com drei Möglichkeiten zum schnellen Löschen aller Ereignisprotokolle in der Windows 10-Ereignisanzeige.

Mit gefälschten IP-Methoden können Sie anonym zugreifen

Mit gefälschten IP-Methoden können Sie anonym zugreifen

In vielen früheren Artikeln haben wir erwähnt, dass es äußerst wichtig ist, online anonym zu bleiben. Jedes Jahr werden private Informationen preisgegeben, wodurch Online-Sicherheit immer wichtiger wird. Das ist auch der Grund, warum wir virtuelle IP-Adressen verwenden sollten. Im Folgenden erfahren Sie mehr über Methoden zur Erstellung gefälschter IPs!

So erstellen Sie einen transparenten Hintergrundmodus unter Windows 10

So erstellen Sie einen transparenten Hintergrundmodus unter Windows 10

WindowTop ist ein Tool, das alle Anwendungsfenster und Programme, die auf Windows 10-Computern ausgeführt werden, dimmen kann. Alternativ können Sie unter Windows eine Benutzeroberfläche mit dunklem Hintergrund verwenden.

So deaktivieren Sie die Sprachleiste in der Windows 8-Taskleiste

So deaktivieren Sie die Sprachleiste in der Windows 8-Taskleiste

Die Sprachleiste unter Windows 8 ist eine Miniatur-Sprachsymbolleiste, die automatisch auf dem Desktop-Bildschirm angezeigt wird. Viele Leute möchten diese Sprachleiste jedoch in der Taskleiste ausblenden.

So richten Sie WEP, WPA, WPA2 für den Linksys-Router ein

So richten Sie WEP, WPA, WPA2 für den Linksys-Router ein

Drahtlose Konnektivität ist heutzutage eine Notwendigkeit und daher ist drahtlose Sicherheit unerlässlich, um die Sicherheit in Ihrem internen Netzwerk zu gewährleisten.

Tipps zur Optimierung der Internetverbindungsgeschwindigkeit von Linksys

Tipps zur Optimierung der Internetverbindungsgeschwindigkeit von Linksys

Die Maximierung der Internetgeschwindigkeit ist für die Optimierung Ihrer Netzwerkverbindung von entscheidender Bedeutung. Mit Computern, internetfähigen Fernsehern, Spielekonsolen usw. können Sie ein optimales Unterhaltungs- und Arbeitserlebnis genießen.