Να θυμάστε: Αυτό το εργαλείο δεν είναι για εκπαιδευτικούς σκοπούς! Η χρήση του UFONet για επίθεση σε στόχους που δεν έχουν συμφωνήσει είναι παράνομη! Είναι ευθύνη του χρήστη αν θα υπακούσει τους τοπικούς, κρατικούς και ομοσπονδιακούς νόμους και όχι του αρθρογράφου. Το UFONet είναι ένα δωρεάν λογισμικό, σχεδιασμένο για να τεστάρει επιθέσεις DDoS ενάντια σε έναν στόχο χρησιμοποιόντας φορείς "Open Redirect" σε εφαρμογές ιστού τρίτων, σαν τα botnet. Χαρακτηριστικά UFONet: Αυτόματη ενημέρωση. Καθαρός κώδικας(χρειάζεται μόνο python-pycurl). Documentation (οδηγοί) με παραδείγματα. Διεπαφή Web/GUI. Σύνδεση στα "zombies" μέσω proxy (π.χ TOR). Αλλαγή στις κεφαλίδες HTTP (User-Agent, Referrer, Host...). Ρύθμιση των αιτημάτων (Timeout, Retries, Delay). Αναζήτηση για "zombies" μέσω του google (με την χρήση κάποιου μοτίβου ή κάποιας λίστας με dorks). Δοκιμή κενών ασφαλείας "Open Redirect" πάνω στα "zombies". Κατέβασμα/Ανέβασμα "zombie" από/στην κοινότητα. Έλεγχος στόχου (μέγεθος αντικειμένου HTML). Επιλογή τοποθεσίας για "bit" στον στόχο (π.χ μεγάλο αρχείο). Έλεγχος αριθμών επίθεσης. Εφαρμογή τεχνικών αποφυγής cache. Υποστήριξη GET/POST. Multithreading. Διάφορα search engines για εύρεση dork. Geomapping / Visual Data (αναπαράσταση δεδομένων). Επιλογή να "δώσεις διαταγή" στα "zombies" να σου επιτεθούν, για benchmarking. [hide] Πρώτα από όλα κατεβάστε το UFONet από το sourceforge με αυτό το link: https://sourceforge.net/projects/ufonet/ Αποσυμπιέστε τον φάκελο, ανοίξτε ένα terminal, μεταφερθείτε στον αποσυμπιεσμένο φάκελο και δείτε όλες τις επιλογές που έχετε με την εντολή ./ufonet -help Τώρα πρέπει να κατεβάσουμε τα "zombies" τα οποία θα χρησιμοποιήσουμε στην επίθεση. Ανοίξτε terminal και γράψτε: ./ufonet -download-zombies Τώρα για να μπούμε στο GUI γράψτε ./ufonet -gui Αυτή η εντολή θα σας ανοίξει ένα παράθυρο φυλλομετρητή με διάφορες επιλογές. Πατήστε το "START MOTHERSHIP". Αυτό θα σας πάει σε μια σελίδα με άλλες επιλογές. Επιλέξτε το "Botnet". Εδώ σας δίνεται η δυνατότητα να κάνετε διάφορες ρυθμίσεις. Πατήστε στο "List Zombies" για να δείτε τα Zombies που θα χρησιμοποιηθούν στην επίθεση. Πατήστε το κουμπί "Attack". Ορίστε το URL ή την IP του στόχου και επιλέξτε όσους γύρους (rounds) χρείαζεστε. Τέλος, πατήστε "Start" ώστε να ξεκινήσει η επίθεση. Όπως βλέπετε ο πρώτος γύρος (round) επιθέσεων ξεκινάει από πολλά "zombies" και ο διακομιστής πέφτει μετά από λίγο. [/hide]

Tο διαδίκτυο αποτελεί σήμερα απαραίτητο συστατικό της καθημερινής ζωής για τους περισσότερους ανθρώπους. H αξιοποίηση των υπηρεσιών του διαδικτύου για την υποστήριξη των οικονομικών και κοινωνικών δραστηριοτήτων γίνεται κυρίως μέσω των διαδικτυακών εφαρμογών, οι οποίες εξελίσσονται ραγδαία. Όμως, όσο εξαπλώνεται η χρήση των διαδικτυακών εφαρμογών, τόσο περισσότερο γίνονται στόχος επιθέσεων από κακόβουλους χρήστες, οι οποίο προσπαθούν να εκμεταλλευτούν τις αδυναμίες στον κώδικα και τις ρυθμίσεις για την επιτέλεση των σκοπών τους. Επομένως, η ασφάλεια των διαδικτυακών εφαρμογών αποτελεί μια κρίσιμη παράμετρο για την αποδοχή και αξιοποίησή τους. Μια διαδεδομένη πρακτική για την ενίσχυση της ασφάλειας των διαδικτυακών εφαρμογών είναι η πραγματοποίηση δοκιμών διείσδυσης από ειδικούς της ασφάλειας, με τη συγκατάθεση των ιδιοκτητών τους. Οι δοκιμές αποσκοπούν στο να εντοπισθούν τυχόν ευπάθειες και να διαπιστωθεί η ανάγκη λήψης μέτρων προστασίας. Για το σκοπό αυτό, έχουν αναπτυχθεί πολλά και διάφορα εργαλεία για δοκιμές διείσδυσης, τα οποία δεν παρέχουν την ίδια αποτελεσματικότητα και πληρότητα κάλυψης των αναγκών ελέγχου ασφάλειας των εφαρμογών ιστού. Αντικείμενο της παρούσας διπλωματικής εργασίας αποτελεί η έρευνα, η καταγραφή, η ταξινόμηση και η αξιολόγηση των αντιπροσωπευτικών εργαλείων διείσδυσης, κυρίως στη βάση της εφαρμογής τους στο πλαίσιο μιας μεθοδολογίας επίθεσης. Στο πλαίσιο μιας τυποποιημένης διαδικασίας δοκιμών διείσδυσης, σύμφωνα με τη συγκεκριμένη μεθοδολογία επίθεσης, γίνεται προσδιορισμός των ποιοτικών κριτηρίων αξιολόγησης εργαλείων διείσδυσης σε κάθε στάδιο της μεθοδολογίας. Από την οργανωμένη εφαρμογή των εργαλείων δοκιμών διείσδυσης με μια ολοκληρωμένη δοκιμή διείσδυσης σε πραγματικό στόχο, προκύπτουν συμπεράσματα τα οποία αποτυπώνονται σε μια συνολική συγκριτική αξιολόγησή τους. Αξιολόγηση εργαλείων Penetration Testing για Web εφαρμογές - Iatropoulos Ioannis Msc2017.pdf Πηγή: ΨΗΦΙΔΑ - Ψηφιακή Βιβλιοθήκη και Ιδρυματικό Αποθετήριο του Πανεπιστημίου Μακεδονίας