WhatWeb Legion Tools: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „== Ziel == * Der Zielhost ist '''opfer.secure.local'''. * WhatWeb wird automatisch von Legion gestartet, wenn ein Webdienst (z. B. auf Port 80 oder 443)…“) |
(kein Unterschied)
|
Aktuelle Version vom 5. April 2025, 08:17 Uhr
Ziel
- Der Zielhost ist opfer.secure.local.
- WhatWeb wird automatisch von Legion gestartet, wenn ein Webdienst (z. B. auf Port 80 oder 443) durch den Nmap-Scan erkannt wurde.
- Ziel ist die Erkennung eingesetzter Webtechnologien, Frameworks, Plugins und Versionen.
Befehl
- whatweb --no-errors --color=never --log-xml=output.xml http://opfer.secure.local
- Erklärung:
- --no-errors: Unterdrückt Fehlermeldungen
- --color=never: Keine Farbcodes in der Ausgabe
- --log-xml oder --log-json: Maschinenlesbare Ausgabe
- Protokoll (http/https) und Port werden automatisch erkannt und ergänzt
Ausgabe
- Webserver-Typ (z. B. Apache, nginx, IIS)
- CMS-Systeme (z. B. WordPress, Joomla, Drupal)
- Scripting-Engines (z. B. PHP, ASP.NET)
- JavaScript-Frameworks (z. B. jQuery, React)
- Web-Analyse-Tools (z. B. Google Analytics)
- Versionen erkannter Komponenten (sofern möglich)
- Sicherheitsrelevante Header (z. B. X-Frame-Options, CSP)
Folgeaktionen
- Legion nutzt die WhatWeb-Ergebnisse, um gezielt weitere Tools auszuführen:
Wenn CMS erkannt (z. B. WordPress, Joomla)
- Nikto wird mit zusätzlichen Tests für bekannte Schwachstellen gestartet
Wenn bestimmte Frameworks oder Servertypen erkannt
- DirBuster startet mit typischen Pfad-Wörterlisten für das erkannte System
Wenn Versionen gefunden werden
- Vulners oder Exploit-DB werden abgefragt, um bekannte Schwachstellen (CVEs) anzuzeigen
Hinweis
WhatWeb liefert eine erste Einschätzung der eingesetzten Webarchitektur und legt damit die Basis für gezielte Angriffe in der Webanalyse. Legion zeigt die Ergebnisse direkt in der grafischen Oberfläche unter dem Zielhost an.