Quét lỗi bảo mật website với Uniscan

Uniscan là một công cụ dùng để quét lỗi bảo mật của website. Uniscan có thể quét được các lỗi thường gặp của một website như LFI, RFI, SQL Injection, XSS ... Uniscan được viết bằng Perl.

Đây là một công cụ mã nguồn mở và miễn phí, bạn có thể tải xuống tại đây

• Quét lỗi bảo mật Joomla với JoomScan
• Quét lỗi bảo mật WordPress với WPScan
• DarkJumper - Security Testing Tool
• Dmitry - Footprinting Tool

Ở đây tôi sử dụng BackTrack nên đã có sẵn Uniscan.

Để mở Uniscan trên BackTrack ta vào terminal và đánh lệnh sau:

[code type="Linux"]cd /pentest/web/uniscan[/code]

Nếu như bạn sử dụng Kali Linux, chỉ cần gõ uniscan vào terminal để bắt đầu.

Để quét lỗi của một website bất kỳ, ta đánh lệnh sau:

[code type="Linux"]# Trên BackTrack ./uniscan.pl -u http://www.example.com/ -qweds # Trên Kali Linux uniscan -u http://www.example.com/ -qweds[/code]

Đoạn lệnh trên chỉ quét được một website, nếu muốn quét nhiều website cùng một lúc, ta đánh lệnh sau:

[code type="Linux"]# Trên BackTrack ./uniscan.pl -f websites.txt -bqweds # Trên Kali Linux uniscan -f websites.txt -bqweds[/code]

Với wesites.txt là một danh sách website đã được chuẩn bị sẵn.

Ngoài chức năng quét như trên, Uniscan còn hỗ trợ chức năng tìm kiếm dork với Google và Bing

Ví dụ sau đây đối với Google:

[code type="Linux"]uniscan -o 'inurl:"index.php?id="'[/code]

Để tìm kiếm với Bing, bạn chỉ cần thay tham số -o bằng -i.