Se trata de w3af “Web Application Attack and Audit Framework”, esta herramienta es un conjunto de plugins agrupados por características. Los plugins se actualizan de forma periódica y están agrupados en la aplicación, en los siguientes apartados:
- Auditoria: para auditar la seguridad de la aplicación. En este apartado destacan plugins como: detección SQL
injection, detección XSS, detección SSI, detección Buffer Overflow, detección LDAP Injection… - Fuerza bruta: Son plugins para atacar mecanismos de autentificación por fuerza bruta.
- Descubrimiento: Descubrir información sobre el sitio como nuevas URLs, usuarios, servidores… Utiliza plugins como: Hmap para http fingerprinting, fingerGoogle busca cuentas de usuario de la aplicación Web en google…
- Evasión: Usados para evadir IDS.
- Grep: analiza las respuestas del servidor a los plugins buscando: errores, cookies…
La interfaz tiene cuatro pestañas: configuración, log, resultados y exploit. Estas pestañas describen el proceso de test de penetración a una aplicación web. La pestaña de log muestra el proceso del escaneo. Cuando se acaba este proceso podemos ver su resultado en su correspondiente pestaña y si se encuentran vulnerabilidades, atacarlas con los exploit que trae la herramienta.
W3af es multiplataforma, ya que está escrita en python bajo licencia GNU.
Más información y descarga de w2af:
http://w3af.sourceforge.net/
Fuente:http://vtroger.blogspot.com/2009/01/herramienta-de-test-de-penetracin-de.html
Entradas
No hay comentarios:
Publicar un comentario