ထိပ်တန်း ထိုးဖောက်မှု စမ်းသပ်ခြင်း ကိရိယာ ၁၀ ခု
1. Kali Linux
Kali သည် ကိရိယာတစ်ခုမဟုတ်ပါ။ ၎င်းသည် တည်ဆောက်ထားသော Linux လည်ပတ်မှုစနစ်၏ ပွင့်လင်းသောအရင်းအမြစ် ဖြန့်ဖြူးမှုတစ်ခုဖြစ်သည်။ သတင်းအချက်အလက် လုံခြုံရေး သုတေသန၊ နောက်ပြန် အင်ဂျင်နီယာ၊ ကွန်ပျူတာ မှုခင်းဆေးပညာ နှင့် သင် မှန်းဆ၊ ထိုးဖောက် စမ်းသပ်ခြင်း ကဲ့သို့သော လုံခြုံရေး တာဝန်များ။
Kali တွင် သင်ဖတ်ထားသည့်အတိုင်း ဤစာရင်းတွင် သင်တွေ့မြင်ရသော ထိုးဖောက်မှုစမ်းသပ်ကိရိယာများစွာပါရှိသည်။ Pen-testing နှင့်ပတ်သက်လာလျှင် ဤကိရိယာများသည် သင်အလိုရှိသမျှနီးပါး လုပ်ဆောင်နိုင်သည်။ SQL ထိုးဖောက်တိုက်ခိုက်မှုကို လုပ်ဆောင်လိုပါသလား အဲဒါအတွက်ကိရိယာတွေရှိတယ်။
၎င်းကို ၎င်း၏ လက်ရှိအမည် Kali မတိုင်မီ Backtrack ဟု လူသိများသည်။ ကိရိယာအသစ်များ ပေါင်းထည့်ရန်၊ လိုက်ဖက်ညီမှု ပိုမိုကောင်းမွန်စေရန်နှင့် ဟာ့ဒ်ဝဲများကို ပံ့ပိုးပေးရန်အတွက် OS သို့ အပ်ဒိတ်များကို တစ်ကြိမ်တစ်ခါမျှ မကြာခဏ ထုတ်ပြန်ပေးသော Offensive Security မှ လောလောဆယ် ထိန်းသိမ်းထားသည်။
Kali ၏ အံ့ဩစရာတစ်ခုမှာ ၎င်းတွင် လည်ပတ်နေသော ပလက်ဖောင်းများ ကျယ်ပြန့်သည်။ Kali ကို မိုဘိုင်းစက်ပစ္စည်းများ၊ Docker၊ ARM၊ Amazon Web Services၊ Linux အတွက် Windows Subsystem၊ Virtual Machine နှင့် သတ္တုအလွတ်များတွင် သင်သုံးနိုင်သည်။
ဘောပင်စမ်းသပ်သူများ၏ ဘုံအလေ့အကျင့်မှာ ၎င်းတို့၏အရွယ်အစားသေးငယ်သောကြောင့် Kali နှင့် Raspberry Pis ကို တင်ရန်ဖြစ်သည်။ ၎င်းသည် ပစ်မှတ်၏ရုပ်ပိုင်းဆိုင်ရာတည်နေရာရှိ ကွန်ရက်တစ်ခုသို့ ချိတ်ဆက်ရန် လွယ်ကူစေသည်။ သို့သော်၊ ဘောပင်စမ်းသပ်သူအများစုသည် VM သို့မဟုတ် bootable thumb drive တွင် Kali ကိုအသုံးပြုသည်။
Kali ၏ မူရင်းလုံခြုံရေး အားနည်းသည်ကို သတိပြုပါ၊ ထို့ကြောင့် ၎င်းတွင် လျှို့ဝှက်တစ်စုံတစ်ရာ မပြုလုပ်မီ သို့မဟုတ် သိမ်းဆည်းထားရန် လိုအပ်ပါသည်။
၄။ Metasploit
ပစ်မှတ်စနစ်တစ်ခု၏ လုံခြုံရေးကို ကျော်ဖြတ်ခြင်းသည် အမြဲတမ်း ပေးသည်မဟုတ်ပါ။ ကလောင်စမ်းသပ်သူများသည် အသုံးပြုခွင့် သို့မဟုတ် ထိန်းချုပ်ရန် ပစ်မှတ်စနစ်အတွင်း အားနည်းချက်များကို အားကိုးသည်။ သင်စိတ်ကူးနိုင်သည်အတိုင်း၊ ထောင်ပေါင်းများစွာသော အားနည်းချက်များကို နှစ်များအတွင်း ပလပ်ဖောင်းအမျိုးမျိုးတွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ ၎င်းတို့သည် များပြားသောကြောင့် ဤအားနည်းချက်များနှင့် ၎င်းတို့၏ အမြတ်ထုတ်မှုများကို သိရန် မဖြစ်နိုင်ပေ။
ဤနေရာတွင် Metasploit ဝင်လာပါသည်။ Metasploit သည် Rapid 7 မှ ဖန်တီးထားသော open-source လုံခြုံရေးဘောင်တစ်ခုဖြစ်သည်။ ၎င်းတို့ကို အသုံးချရန် သို့မဟုတ် ၎င်းတို့ကို မှတ်တမ်းတင်ရန်အတွက် အားနည်းချက်များအတွက် ကွန်ပျူတာစနစ်များ၊ ကွန်ရက်များနှင့် ဆာဗာများကို စကင်န်ဖတ်ရန်အတွက် အသုံးပြုပါသည်။
Metasploit တွင် Android၊ Cisco၊ Firefox၊ Java၊ JavaScript၊ Linux၊ NetWare၊ nodejs၊ macOS၊ PHP၊ Python၊ R၊ Ruby၊ Solaris၊ Unix ကဲ့သို့သော ကျယ်ပြန့်သော ပလပ်ဖောင်းများတွင် exploit ပေါင်း နှစ်ထောင်ကျော် ပါဝင်ပြီး ဟုတ်ပါတယ်၊ ပြတင်းပေါက်။
အားနည်းချက်များအတွက် စကင်န်ဖတ်ခြင်းအပြင်၊ pentesters များသည် exploit development၊ payload ပေးပို့မှု၊ သတင်းအချက်အလက်စုဆောင်းခြင်းနှင့် အပေးအယူခံရသောစနစ်တွင် ဝင်ရောက်ထိန်းသိမ်းခြင်းအတွက် Metasploit ကို အသုံးပြုပါသည်။
Metasploit သည် Windows နှင့် Linux အချို့ကို ပံ့ပိုးပေးသည်။ လည်ပတ်မှုစနစ်များ ၎င်းသည် Kali တွင်ကြိုတင်ထည့်သွင်းထားသောအက်ပ်များထဲမှတစ်ခုဖြစ်သည်။
3 ။ Wireshark
စနစ်တစ်ခု၏ လုံခြုံရေးကို ကျော်ဖြတ်ရန် မကြိုးစားမီ၊ pentesters များသည် ၎င်းတို့၏ ပစ်မှတ်အကြောင်း အချက်အလက်များကို တတ်နိုင်သမျှ စုဆောင်းရန် ကြိုးစားကြသည်။ ဤသို့ပြုလုပ်ခြင်းဖြင့် စနစ်ကို စမ်းသပ်ရန် အကောင်းဆုံးနည်းလမ်းကို ဆုံးဖြတ်နိုင်စေမည်ဖြစ်သည်။ ဤလုပ်ငန်းစဉ်အတွင်း pentesters အသုံးပြုသည့်ကိရိယာများထဲမှတစ်ခုမှာ Wireshark ဖြစ်သည်။
Wireshark သည် ကွန်ရက်တစ်ခုမှတဆင့် ဖြတ်သန်းသွားလာမှုကို နားလည်စေရန်အသုံးပြုသည့် ကွန်ရက်ပရိုတိုကောခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုဖြစ်သည်။ ကွန်ရက်ကျွမ်းကျင်ပညာရှင်များသည် ကြာမြင့်ချိန်ပြဿနာများ၊ ထုပ်ပိုးမှုများနှင့် အန္တရာယ်ရှိသော လုပ်ဆောင်မှုများကဲ့သို့သော TCP/IP ချိတ်ဆက်မှုပြဿနာများကို ဖြေရှင်းရန် ၎င်းကို အသုံးပြုကြသည်။
သို့သော်လည်း အားနည်းချက်များအတွက် ကွန်ရက်များကို အကဲဖြတ်ရန် pentesters များက ၎င်းကို အသုံးပြုသည်။ ကိရိယာကိုယ်နှိုက်ကို အသုံးပြုနည်းကို လေ့လာခြင်းအပြင်၊ TCP/IP stack၊ packet headers များကို ဖတ်ခြင်းနှင့် ဘာသာပြန်ခြင်း၊ လမ်းကြောင်းလမ်းကြောင်းကို နားလည်ခြင်း၊ port forwarding နှင့် DHCP တို့ကို ကျွမ်းကျင်စွာအသုံးပြုရန် လုပ်ဆောင်ခြင်းကဲ့သို့သော networking concepts အချို့ကိုလည်း ရင်းနှီးရန် လိုအပ်ပါသည်။
၎င်း၏အဓိကအင်္ဂါရပ်အချို့မှာ-
- ဒေတာပမာဏများစွာကို ခွဲခြမ်းစိတ်ဖြာနိုင်သည်။
- ရာနှင့်ချီသော ပရိုတိုကောများကို ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ကုဒ်ဝှက်ခြင်းအတွက် ပံ့ပိုးမှု။
- ကွန်ရက်များ၏ အချိန်နှင့်တပြေးညီ အော့ဖ်လိုင်းခွဲခြမ်းစိတ်ဖြာခြင်း။
- အစွမ်းထက်သော ဖမ်းယူမှုနှင့် ပြသသည့် စစ်ထုတ်မှုများ။
Wireshark ကို Windows၊ macOS၊ Linux၊ Solaris၊ FreeBSD၊ NetBSD နှင့် အခြားပလက်ဖောင်းများစွာတွင် ရနိုင်ပါသည်။
ပံ့ပိုးပေးထားသော အကြောင်းအရာ-
4 ။ nmap
Pentesters များသည် ကွန်ရက်တစ်ခုပေါ်ရှိ အချက်အလက်များကို စုဆောင်းရန်နှင့် အားနည်းချက်များကို ရှာဖွေရန်အတွက် Nmap ကို အသုံးပြုသည်။ Nmap သည် network mapper ၏ အတိုကောက်ဖြစ်ပြီး ကွန်ရက်ရှာဖွေတွေ့ရှိမှုအတွက် အသုံးပြုသည့် ဆိပ်ကမ်းစကင်နာတစ်ခုဖြစ်သည်။ Nmap ကို စက်ထောင်ပေါင်းများစွာဖြင့် လျင်မြန်စွာ စကင်န်ဖတ်ရန် တည်ဆောက်ထားသည်။
ထိုသို့သောစကင်န်ဖတ်ခြင်းသည် အများအားဖြင့် ကွန်ရက်ပေါ်ရှိ host အမျိုးအစားများ၊ ၎င်းတို့ပေးဆောင်သည့် ဝန်ဆောင်မှုများ (အပလီကေးရှင်းအမည်နှင့် ဗားရှင်း)၊ လက်ခံဆောင်ရွက်ပေးနေသော OS ၏အမည်နှင့် ဗားရှင်း၊ ပက်ကက်စစ်ထုတ်မှုများနှင့် firewalls များနှင့် အခြားသွင်ပြင်လက္ခဏာများစွာတို့ကဲ့သို့သော အချက်အလက်များကို ထုတ်ပေးပါသည်။
pentesters များသည် အမြတ်ထုတ်နိုင်သော host များကို ရှာဖွေတွေ့ရှိသည့် Nmap scans များမှတဆင့်ဖြစ်ပါသည်။ Nmap သည် ကွန်ရက်တစ်ခုပေါ်ရှိ host နှင့် service uptime ကို စောင့်ကြည့်နိုင်သည်။
Nmap သည် Linux၊ Microsoft Windows၊ Mac OS X၊ FreeBSD၊ OpenBSD နှင့် Solaris ကဲ့သို့သော အဓိကလည်ပတ်မှုစနစ်များတွင် လုပ်ဆောင်သည်။ အထက်ဖော်ပြပါ ထိုးဖောက်စမ်းသပ်ခြင်းကိရိယာများကဲ့သို့ Kali တွင် ကြိုတင်ထည့်သွင်းထားသည်။
5 ။ Aircrack-ng
WiFi ကွန်ရက်များသည် သင် hack ချင်သည့် ပထမဆုံးစနစ်များထဲမှ တစ်ခု ဖြစ်နိုင်သည်။ နောက်ဆုံးအနေနဲ့၊ ဘယ်သူက “အခမဲ့” WiFi ကို လိုချင်မှာလဲ။ pentester တစ်ဦးအနေဖြင့် သင့်ကိရိယာအစုံတွင် WiFi လုံခြုံရေးကို စမ်းသပ်ရန် ကိရိယာတစ်ခု ရှိသင့်သည်။ Aircrack-ng ထက် ဘယ်ကိရိယာကို ပိုကောင်းအောင် သုံးရမလဲ။
Aircrack-ng သည် ကြိုးမဲ့ကွန်ရက်များကို ကိုင်တွယ်ဖြေရှင်းရန် pentesters အသုံးပြုသည့် open-source tool တစ်ခုဖြစ်သည်။ ၎င်းတွင် အားနည်းချက်များအတွက် ကြိုးမဲ့ကွန်ရက်ကို အကဲဖြတ်ရန် အသုံးပြုသည့် ကိရိယာအစုံပါရှိသည်။
Aircrack-ng ကိရိယာအားလုံးသည် command-line ကိရိယာများဖြစ်သည်။ ၎င်းသည် အဆင့်မြင့်အသုံးပြုမှုအတွက် စိတ်ကြိုက် script များကို ဖန်တီးရန် pentesters များအတွက် လွယ်ကူစေသည်။ ၎င်း၏အဓိကအင်္ဂါရပ်အချို့မှာ-
- ကွန်ရက် အစုံလိုက်များကို စောင့်ကြည့်ခြင်း။
- ပက်ကေ့ခ်ျထိုးခြင်းမှတဆင့် တိုက်ခိုက်ခြင်း။
- WiFi နှင့် ယာဉ်မောင်းစွမ်းရည်များကို စမ်းသပ်ခြင်း။
- WEP နှင့် WPA PSK (WPA 1 နှင့် 2) ကုဒ်ဝှက်ခြင်း ပရိုတိုကောများဖြင့် WiFi ကွန်ရက်များကို ဖောက်ထွင်းခြင်း။
- Third-party ကိရိယာများဖြင့် နောက်ထပ်ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ဒေတာပက်ကေ့ခ်ျများကို ဖမ်းယူပြီး ထုတ်ယူနိုင်သည်။
Aircrack-ng သည် Linux ပေါ်တွင် အဓိကအားဖြင့် အလုပ်လုပ်သည် ( Kali နှင့် ပါလာသည် ) သို့သော် ၎င်းကို Windows၊ macOS၊ FreeBSD၊ OpenBSD၊ NetBSD၊ Solaris နှင့် eComStation 2 တို့တွင်လည်း ရရှိနိုင်ပါသည်။
6. sqlmap
မလုံခြုံသော ဒေတာဘေ့စ် စီမံခန့်ခွဲမှုစနစ်သည် စနစ်တစ်ခုသို့ ဝင်ရောက်ရန် မကြာခဏ အသုံးပြုသည့် တိုက်ခိုက်ရေး အားနည်းချက်တစ်ခုဖြစ်သည်။ ဒေတာဘေ့စ်များသည် ခေတ်မီအပလီကေးရှင်းများ၏ အရေးပါသောအစိတ်အပိုင်းများဖြစ်သည်၊ ဆိုလိုသည်မှာ ၎င်းတို့သည် နေရာအနှံ့ဖြစ်သည်။ ၎င်းသည် pentesters များသည် မလုံခြုံသော DBMSs များမှတဆင့် စနစ်အများအပြားသို့ ဝင်ရောက်နိုင်သည်ဟု ဆိုလိုသည်။
Sqlmap သည် ဒေတာဘေ့စ်တစ်ခုအား သိမ်းပိုက်ရန်အတွက် SQL ဆေးထိုးခြင်းဆိုင်ရာ ချို့ယွင်းချက်များကို ရှာဖွေတွေ့ရှိခြင်းနှင့် အသုံးချခြင်းတို့ကို အလိုအလျောက်လုပ်ဆောင်ပေးသည့် SQL ဆေးထိုးကိရိယာတစ်ခုဖြစ်သည်။ Sqlmap မတိုင်မီ၊ pentesters များသည် SQL injection attacks ကို ကိုယ်တိုင်လုပ်ဆောင်ခဲ့သည်။ ဆိုလိုသည်မှာ နည်းပညာကို အကောင်အထည်ဖော်ရန် ကြိုတင်အသိပညာ လိုအပ်သည်။
ယခုအခါတွင် စတင်သူများပင်လျှင် Sqlmap (boolean-based blind၊ time-based blind၊ error-based၊ UNION query-based၊ stacked queries နှင့် out-band) မှပံ့ပိုးပေးသော SQL Injection နည်းပညာခြောက်ခုအနက်မှ တစ်ခုခုကို အသုံးပြုနိုင်သည်။ database တစ်ခု။
Sqlmap သည် MySQL၊ Oracle၊ PostgreSQL၊ Microsoft SQL Server၊ Microsoft Access၊ IBM DB2 နှင့် SQLite ကဲ့သို့သော ကျယ်ပြန့်သော DBMS များကို တိုက်ခိုက်နိုင်သည်။ စာရင်းအပြည့်အစုံအတွက် ဝဘ်ဆိုက်ကို ဝင်ကြည့်ပါ။
၎င်း၏ထိပ်တန်းအင်္ဂါရပ်အချို့ပါဝင်သည်-
- ကြိုးမဲ့ချိတ်ဆက်မှုများမှတစ်ဆင့် ပစ်မှတ်စက်၏ OS ပေါ်တွင် အမိန့်ပေးချက်များကို လုပ်ဆောင်ခြင်း။
- ပစ်မှတ်စက်၏ အရင်းခံဖိုင်စနစ်အား ဝင်ရောက်ကြည့်ရှုခြင်း။
- စကားဝှက် hash ဖော်မတ်များကို အလိုအလျောက် မှတ်မိနိုင်ပြီး အဘိဓာန်တိုက်ခိုက်မှုကို အသုံးပြု၍ ၎င်းတို့ကို crack နိုင်သည်။
- တိုက်ခိုက်သူစက်နှင့် ဒေတာဘေ့စ်ဆာဗာ၏ အရင်းခံ OS အကြား ချိတ်ဆက်မှုတစ်ခုကို ထူထောင်နိုင်ပြီး terminal၊ Meterpreter စက်ရှင် သို့မဟုတ် VNC မှတစ်ဆင့် GUI စက်ရှင်ကို စတင်ခွင့်ပြုသည်။
- Metasploit ၏ Meterpreter မှတစ်ဆင့် သုံးစွဲသူ၏ အခွင့်ထူးများ တိုးလာမှုအတွက် ပံ့ပိုးမှု။
Sqlmap သည် Python ဖြင့်တည်ဆောက်ထားပြီး ဆိုလိုသည်မှာ ၎င်းသည် Python ဘာသာပြန်ထည့်သွင်းထားသည့် မည်သည့်ပလက်ဖောင်းပေါ်တွင်မဆို လုပ်ဆောင်နိုင်သည်။
ပံ့ပိုးပေးထားသော အကြောင်းအရာ-
7 ။ Hydra
လူအများစု၏ စကားဝှက်များ မည်မျှအားနည်းနေသည်မှာ မယုံနိုင်စရာပင်။ 2012 ခုနှစ်တွင် LinkedIn အသုံးပြုသူများအသုံးပြုသော ရေပန်းအစားဆုံး စကားဝှက်များကို ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုက ဖော်ပြခဲ့သည်။ အသုံးပြုသူ 700,000 ကျော်တွင် ၎င်းတို့၏ စကားဝှက်များအဖြစ် '123456' ရှိခဲ့သည်။
Hydra ကဲ့သို့သော ကိရိယာများသည် အွန်လိုင်းပလပ်ဖောင်းများတွင် အားနည်းသော စကားဝှက်များကို ဖော်ထုတ်ရန် လွယ်ကူစေသည်။ Hydra သည် အွန်လိုင်းတွင် စကားဝှက်များကို crack ရာတွင် အသုံးပြုသည့် အပြိုင်ကွန်ရက် အကောင့်ဝင် စကားဝှက် cracker (ကောင်းပြီ၊ ၎င်းသည် ပါးစပ်ပေါက်) ဖြစ်သည်။
Hydra ကို များသောအားဖြင့် Crunch နှင့် Cupp ကဲ့သို့သော ပြင်ပမှ စကားလုံးစာရင်းထုတ်ပေးသည့် ဂျင်နရေတာများတွင် အသုံးပြုလေ့ရှိပြီး ၎င်းသည် စကားလုံးစာရင်းများကို ကိုယ်တိုင်မထုတ်ပေးသောကြောင့် ဖြစ်သည်။ Hydra ကိုအသုံးပြုရန်၊ သင်လုပ်ဆောင်ရမည့်အရာမှာ သင်ကလောင်အမည်စမ်းသပ်ရန်၊ စကားလုံးစာရင်းတစ်ခုထဲသို့ ဝင်ရောက်ပြီး လုပ်ဆောင်ရမည့်ပစ်မှတ်ကို သတ်မှတ်ရန်ဖြစ်သည်။
Hydra သည် Cisco auth၊ Cisco enable၊ FTP၊ HTTP(S)-(FORM-GET၊ FORM-POST၊ GET၊ HEAD)၊ HTTP-Proxy၊ MS-SQL၊ MySQL၊ Oracle ကဲ့သို့သော ပလပ်ဖောင်းများနှင့် ကွန်ရက်ပရိုတိုကောများ၏ ရှည်လျားသောစာရင်းကို ပံ့ပိုးပေးသည် နားထောင်သူ၊ Oracle SID၊ POP3၊ PostgreSQL၊ SMTP၊ SOCKS5၊ SSH (v1 နှင့် v2)၊ အဖျက်အမှောင့်၊ Telnet၊ VMware-Auth၊ VNC နှင့် XMPP။
Hydra သည် Kali တွင် ကြိုတင်ထည့်သွင်းထားသော်လည်း ၎င်းကို "Linux၊ Windows/Cygwin၊ Solaris၊ FreeBSD/OpenBSD၊ QNX (Blackberry 10) နှင့် MacOS တို့တွင် သန့်ရှင်းစွာစုစည်းရန် စမ်းသပ်ထားသည်" ဟု ၎င်း၏ developer များကဆိုသည်။
8. John The Ripper
ထူးဆန်းသောအမည်လွဲ၊ John The Ripper သည် လျင်မြန်သော၊ ပွင့်လင်းသောအရင်းအမြစ်၊ အော့ဖ်လိုင်း စကားဝှက် cracker တစ်ခုဖြစ်သည်။ ၎င်းတွင် စကားဝှက် crackers များစွာပါဝင်ပြီး စိတ်ကြိုက် cracker တစ်ခုကိုလည်း ဖန်တီးနိုင်စေပါသည်။
John The Ripper သည် စကားဝှက် hash နှင့် cipher အမျိုးအစားများစွာကို ပံ့ပိုးပေးသည် စကားဝှက် cracker သည် စကားဝှက် cracker ၏ developer များဖြစ်သော Openwall မှ CPUs, GPUs နှင့် FPGAs တို့ကို ပံ့ပိုးပေးသည်။
John The Ripper ကိုအသုံးပြုရန်အတွက် မတူညီသောမုဒ်လေးခုမှ သင်ရွေးချယ်သည်- စကားလုံးစာရင်းမုဒ်၊ တစ်ခုတည်းသောအက်ကွဲမုဒ်၊ တိုးမြှင့်မုဒ်နှင့် ပြင်ပမုဒ်။ မုဒ်တစ်ခုစီတွင် အချို့သောအခြေအနေများအတွက် သင့်လျော်စေမည့် စကားဝှက်များကို ဖောက်ထွင်းနိုင်သည့်နည်းလမ်းများရှိသည်။ John The Ripper တိုက်ခိုက်မှုများသည် အဓိကအားဖြင့် ရိုင်းစိုင်းသော အင်အားနှင့် အဘိဓာန်တိုက်ခိုက်မှုများမှတဆင့် ဖြစ်သည်။
John The Ripper သည် open source ဖြစ်သော်လည်း တရားဝင် Native build မရနိုင်ပါ (အခမဲ့)။ နောက်ထပ် hash အမျိုးအစားများအတွက် ပံ့ပိုးမှုကဲ့သို့သော အင်္ဂါရပ်များပါရှိသော Pro ဗားရှင်းအတွက် စာရင်းသွင်းခြင်းဖြင့် ၎င်းကို သင်ရရှိနိုင်ပါသည်။
John The Ripper သည် macOS၊ Linux၊ Windows နှင့် Android အပါအဝင် လည်ပတ်မှုစနစ် 15 ခုတွင် ရနိုင်သည်။
9. Burp Suite
ယခုအချိန်အထိ ကျွန်ုပ်တို့သည် စမ်းသပ်ခြင်းကွန်ရက်များ၊ ဒေတာဘေ့စ်များ၊ WiFi နှင့် လည်ပတ်မှုစနစ်များကို ဆွေးနွေးခဲ့ပြီးဖြစ်သော်လည်း ဝဘ်အက်ပ်များနှင့်ပတ်သက်၍ကော။ SaaS သည် နှစ်များအတွင်း ဝဘ်အက်ပ်များ အများအပြား ထွက်ပေါ်လာခဲ့သည်။
ဤအက်ပ်များ၏ လုံခြုံရေးသည် ကျွန်ုပ်တို့ ဆန်းစစ်ထားသော အခြားပလပ်ဖောင်းများထက် မပိုပါက၊ ကုမ္ပဏီများစွာသည် ယခုအခါ ဒက်စတော့အက်ပ်များအစား ဝဘ်အက်ပ်များကို တည်ဆောက်ရန် စဉ်းစားနေပါသည်။
ဝဘ်အက်ပ်များအတွက် ထိုးဖောက်စမ်းသပ်ခြင်းကိရိယာများနှင့် ပတ်သက်လာလျှင် Burp Suite သည် အပြင်တွင် အကောင်းဆုံးဖြစ်နိုင်သည်။ Burp Suite သည် ၎င်း၏ပြောင်မြောက်သောအသုံးပြုသူမျက်နှာပြင်နှင့် ကြီးလေးသောစျေးနှုန်းများဖြင့် ဤစာရင်းရှိကိရိယာများနှင့်မတူပါ။
Burp Suite သည် အားနည်းချက်များနှင့် အားနည်းချက်များကို အမြစ်ဖြတ်ခြင်းဖြင့် ဝဘ်အက်ပလီကေးရှင်းများကို ကာကွယ်ရန်အတွက် Portswigger Web Security မှ တည်ဆောက်ထားသော ဝဘ်အားနည်းချက်စကင်နာတစ်ခုဖြစ်သည်။ ၎င်းတွင် အခမဲ့ ကွန်မြူနတီ ထုတ်ဝေမှု ပါရှိသော်လည်း ၎င်း၏ အဓိက အင်္ဂါရပ်များ အများအပြား မပါရှိပါ။
Burp Suite တွင် Pro ဗားရှင်းနှင့် လုပ်ငန်းဗားရှင်းတစ်ခု ရှိသည်။ ပရော်ဖက်ရှင်နယ်ဗားရှင်း၏အင်္ဂါရပ်များကိုသုံးမျိုးခွဲနိုင်သည်။ လူကိုယ်တိုင် ထိုးဖောက်စမ်းသပ်ခြင်း အင်္ဂါရပ်များ၊ အဆင့်မြင့်/စိတ်ကြိုက် အလိုအလျောက် တိုက်ခိုက်မှုများနှင့် အလိုအလျောက် အားနည်းချက်များကို စကင်န်ဖတ်ခြင်း။
လုပ်ငန်းဗားရှင်းတွင် Pro အင်္ဂါရပ်အားလုံးနှင့် CI ပေါင်းစည်းမှု၊ စကင်န်အချိန်ဇယားဆွဲမှု၊ လုပ်ငန်းတစ်ခုလုံး ချဲ့ထွင်နိုင်မှုကဲ့သို့သော အခြားအင်္ဂါရပ်အချို့ ပါဝင်သည်။ ၎င်းသည် $6,995 နှင့် Pro ဗားရှင်းသည် $399 သာကျသင့်သည်။
Burp Suite ကို Windows၊ Linux နှင့် macOS တို့တွင် ရရှိနိုင်ပါသည်။
ပံ့ပိုးပေးထားသော အကြောင်းအရာ-
10. MobSF
ယနေ့ကမ္ဘာပေါ်ရှိလူများ၏ 80% ထက်မနည်းသည်စမတ်ဖုန်းရှိသောကြောင့်၎င်းသည်ယုံကြည်စိတ်ချရသောနည်းလမ်းဖြစ်သည်။ cybercriminals ။ လူတွေကိုတိုက်ခိုက်ဖို့။ ၎င်းတို့အသုံးပြုသည့် တိုက်ခိုက်မှုများတွင် အသုံးအများဆုံး အားနည်းချက်တစ်ခုမှာ အားနည်းချက်များရှိသည့် အက်ပ်များဖြစ်သည်။
MobSF သို့မဟုတ် Mobile Security Framework သည် malware ခွဲခြမ်းစိတ်ဖြာခြင်း၊ pen-testing နှင့် မိုဘိုင်းအက်ပ်များ၏ static & dynamic ခွဲခြမ်းစိတ်ဖြာမှုများကို အလိုအလျောက်လုပ်ဆောင်ရန် တည်ဆောက်ထားသော မိုဘိုင်းလုံခြုံရေးအကဲဖြတ်မှုဘောင်တစ်ခုဖြစ်သည်။
MobSF ကို Android၊ iOS နှင့် Windows (မိုဘိုင်း) အက်ပ်ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာရန် အသုံးပြုနိုင်သည်။ အက်ပ်ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာပြီးသည်နှင့် MobSF သည် အက်ပ်၏လုပ်ဆောင်နိုင်စွမ်းကို အကျဉ်းချုပ်ဖော်ပြကာ မိုဘိုင်းလ်ဖုန်းရှိ အချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခွင့်ပြုနိုင်သည့် ဖြစ်နိုင်ခြေရှိသော ပြဿနာများကို အသေးစိတ်ဖော်ပြထားသည်။
MobSF သည် မိုဘိုင်းအက်ပ်များပေါ်တွင် ခွဲခြမ်းစိတ်ဖြာမှု နှစ်မျိုးလုပ်ဆောင်သည်- static (reverse engineering) နှင့် dynamic ။ တည်ငြိမ်သော ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ မိုဘိုင်းကို ဦးစွာ စုစည်းထားသည်။ ထို့နောက် ၎င်း၏ဖိုင်များကို ထုတ်ယူပြီး ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များအတွက် ခွဲခြမ်းစိတ်ဖြာပါသည်။
အက်ပ်ကို emulator သို့မဟုတ် စစ်မှန်သောစက်ပစ္စည်းတစ်ခုပေါ်တွင် run ပြီးနောက် အကဲဆတ်သောဒေတာဝင်ရောက်ခွင့်၊ မလုံခြုံသောတောင်းဆိုမှုများနှင့် hardcode လုပ်ထားသောအသေးစိတ်အချက်အလက်များအတွက် ဒိုင်နမစ်ခွဲခြမ်းစိတ်ဖြာမှုကို လုပ်ဆောင်သည်။ MobSF တွင် CappFuzz မှ စွမ်းဆောင်သည့် Web API fuzzer လည်း ပါဝင်သည်။
MobSF သည် Ubuntu/Debian-based Linux၊ macOS နှင့် Windows တွင် လုပ်ဆောင်သည်။ ၎င်းတွင်ကြိုတင်တည်ဆောက်ထားသော Docker ပုံလည်းပါရှိသည်။
နိဂုံးချုပ်အားဖြင့်…
အကယ်၍ သင်သည် ယခုမတိုင်မီ Kali Linux ကို ထည့်သွင်းထားပြီးဖြစ်ပါက၊ ဤစာရင်းတွင် ကိရိယာအများစုကို သင်တွေ့မြင်နိုင်မည်ဖြစ်သည်။ ကျန်တာတွေကိုတော့ ကိုယ်တိုင် တပ်ဆင်နိုင်ပါတယ်။) သင်လိုအပ်သည့်ကိရိယာများကို တပ်ဆင်ပြီးသည်နှင့် နောက်တစ်ဆင့်မှာ ၎င်းတို့ကို အသုံးပြုပုံကို လေ့လာရန်ဖြစ်သည်။ ကိရိယာအများစုသည် အသုံးပြုရအလွန်လွယ်ကူပြီး ၎င်းကို သင်မသိမီတွင် ကျွမ်းကျင်မှုအသစ်များဖြင့် သင့်ဖောက်သည်များ၏လုံခြုံရေးကို မြှင့်တင်ရန် သင့်လမ်းကြောင်းပေါ်တွင် ရှိနေမည်ဖြစ်သည်။
