Owasp owtf the offensive (web) testing framework + ptes penetration testing execution standard = kali power auto web pentests
1. OWASP OWTF the Offensive
(Web) Testing Framework
+
PTES Penetration Testing
Execution Standard
=
Kali Power Auto Web Pentests!
Mauro Risonho de Paula Assumpçao
aka firebitsbr
Sao Paulo, Brasil - 2014
2. $WHOIS
Mauro Risonho de Paula Assumpção
Especialista em SGTI pela ICTS Protiviti
mauro.assumpcao@icts.com.br
Autodidata/Entusiasta/Pentester/Analista em Vulnerabilidades/
Security Researcher/Instrutor/Palestrante e
Eterno Aprendiz de Conhecimentos
•https://github.com/firebitsbr
•https://www.linkedin.com
•http://www.backtrack-linux.org
•www.slideshare.net/firebits/ (migrando Google)
•@firebitsbr
•mauro.risonho@gmail.com mrpa.security@gmail.com
•Google+ mauro.risonho / mrpa.security
3. Agenda
● OWTF Intro
– Instalando OWTF com o Kali (apenas tools web)
● Executando OWTF
– Parte 1: OWTF Passive + Semi-passive Web analysis
– Parte 2: OWTF Active Web analysis
– Parte 3: OWTF aux plugins – SE, IDs testing
● Conclusao
● Q&A
16. Simulation mode
Simulation mode “-s ”:
1) SIMULATES what OWTF will do (so it does
not do it!):
2) Is useful to check the effect of a command
before running it
#python owtf.py -s https://accounts.google.com
| more
19. DEMOS
– Parte 1: OWTF Passive + Semi-passive Web
analysis
– Parte 2: OWTF Active Web analysis
– Parte 3: OWTF aux plugins – SE, IDs testing
20. Conclusao
● OWASP OWTF um framework que automatiza
e faz ganhar muito tempo em pentest(s) com
foco em targets em web applications e
infraweb, nas tarefas rotineiras, mas pentests
customizados, apenas agrega um pouco mais
valor, mas nao substitui o processo manual,
inteligente e humano.