Tweet
O w3af(Web Aplication and Audit Framework)é um Framewrok multi-plataforma(um scanner de aplicações web),ele foi desenvolvido por Andre Riancho,é open source e muito bom,pelo menos eu gosto dele,ele pode ser executado tanto em modo GUI como por linha de comando,depende do seu gosto,eu uso mais em GUI portanto não vou explicar como usá-lo por linha de comando.Ele identifica vulnerabilidades por mais de 130 plugins,como XSS,SQL injection,PHP injection e varias outras que tem por ai,e mais depois de idenficar a falha ele ainda apresenta alguns exploits pra você testar(eu nunca consegui explorar depois de encontrar ela,num sei porque sempre trava aqui o w3af,mas pode ser só comigo).Como eu falei o w3af é igual o Nessus tem varias com plugins pra identificar as varias falhas que existem e esses são clasificados em:
Discovery - Descobrir pontos de injeção de código,falhas.
Audit - Procure no dicionário o que é auditoria,e tire suas conclusões.
Grep - Analisar as solicitações e respostas HTTP iniciados por outros plugins.
Ex: Um plugin grep vai encontrar um comentário em HTML com a palavra senha
e vai gerar uma possivel vulnerabilidade baseada nisso.
Output - Pra salvar as informações do scan.Ex: Em um arquivo de texto,ou um HTML.
Mangle - Permitir a modificação de pedidos e respostas com o Sed("editor stream") para web.
Bruteforce - Fazer bruteforce(dããããã).
Evasion - Tentam fugir regras de detecção e intrusão simples.
Exploits - Usa as vulnerabilidades encontradas na fase de auditoria e retorna
algo útil para o utilizador(shell remoto, SQL table dump, um proxy, etc).
Ah um aviso sobre os plugins de Discovery,saiba o que está fazendo,procure por algo específico ou então vai esperar HORAS até terminar todos os plugins.Ex: Um falha de sql injetion.
Não vou mostrar como instalar porque meu intuito não é esse,nesse post só quero apresentar a vocês o w3af,como é e talz,mas vou deixar o user guide pra vocês aprenderem a instalá-lo.Vou mostrar algumas fotos de como usar ele,no meu caso vou usar o back track que já tá tudo prontinho,você encontra o w3af no back track 5 em:
Como usar:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Um video paia que fiz sobre ele,desculpa ai o nervosismo é que é minha primeira video aula prometo melhorar.Eu ia editar mais desisti tô com preguiça
Ah é sempre bom no campo onde coloca a URL especifica-la.Ex: Em vez de só colocar Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... coloque Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
T+
Links:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Contato: francoc.w.g@hotmail.com
Comment