Weitere ähnliche Inhalte Ähnlich wie W3af - Web Attack and Audit Framework (20) W3af - Web Attack and Audit Framework1. W3AF – Web App Attack &
Audit Framework
Leandro Quibem Magnabosco
2. W3AF/WebApp Pentest
• 4 métodos básicos
– Scan automatizado
– Pentest manual
– Análise estática
– Inspeção de código
Title of Course - © 2009 SANS 2
2
3. WebApp Sec Scanners
Open Source
• Pequenas ferramentas sem
integração com nada
• Cada ferramenta reinventa a roda
• Sem comunidade de usuários
• Não geram “reports”
• Não são extensíveis
Title of Course - © 2009 SANS 3
3
4. WebApp Sec Scanners
Software Proprietário
• Alto preço
• Ainda pouca extensibilidade
• Bons “reports”
• Sem suporte integrado para
exploiting
Title of Course - © 2009 SANS 4
4
5. WebApp Sec Scanners
W3AF é:
→ Metasploit p/ WebApps
Web Application ATTACK and
AUDIT Framework
GPLv2
Scanner de vulnerabilidades
Ferramenta para explorar falhas
Title of Course - © 2009 SANS 5
5
6. W3AF/WebApp Pentest
Características:
Identifica quase todas as
vulnerabilidades existentes em
WebApps usando mais de 150
plugins
Escrito em Python (cross-platform)
GUI (GTK) e Console
Title of Course - © 2009 SANS 6
6
7. W3AF/WebApp Pentest
Características:
Muito simples para extender suas
funcionalidades
Suporta SQL Injection “cega”
Comandar o SO explorado
Envio de arquivos
XSS
Title of Course - © 2009 SANS 7
7
9. W3AF/Tipos de Plugins
1) discovery
2) audit
3) grep
4) attack
5) output
6) mangle
7) evasion
8) bruteforce
Title of Course - © 2009 SANS 9
9
10. W3AF/Plugins/discovery
webSpider
urlFuzzer
googleSpider
pykto
1)Procura novas URLs,
formulários, etc. fingerMSN
2)Cria um mapa completo do hmap
site e seus recursos
3)Disponibiliza dados para uso oracleDiscovery
por outros plugins
Title of Course - © 2009 SANS 10
10
11. W3AF/Plugins/audit
xsrf (Cross site request
Forgery)
htaccessMethods
Sqli
SslCertificate
1) Pega a saída dos plugins do
tipo discovery e procura
FileUpload
vulnerabilidades MxInjection
2) Vulnerabilidades descobertas
são salvas como objetos
OsCommanding
vulneráveis em uma BuffOverflow
database
Title of Course - © 2009 SANS 11
11
12. W3AF/Plugins/grep
dotNetEventValidation
pathDisclosure
codeDisclosure
blankBody
1) Trabalha a saída dos outros metaTags
plugins e permite trabalhar
com estes dados
svnUsers
2) Usa expressões regulares privateIP
3) Encontra comportamentos directoryIndexing
estranhos do WebServer
Title of Course - © 2009 SANS 12
12
13. W3AF/Plugins/attack
sqlmap
osCommandingShell
xssBeef
localFileReader
rfiProxy
1) Utilizam os objetos remoteFileIncludeShell
vulneráveis da database davShell
interna
eval
2) Realizam um ataque e
retornam o resultado fileUploadShell
sql_webshell
Title of Course - © 2009 SANS 13
13
14. W3AF/Plugins/output
htmlFile
xmlFile
textFile
console
1) Gravam mensagens do gtkOutput
Framework
2) Suportam:
– XML - HTML
– Texto - Console
– GTK
Title of Course - © 2009 SANS 14
14
15. W3AF/Plugins/mangle
Filho solitário:
sed
1) Editor de Stream para
pedidos e respostas
2) Para utilização em ataques
Title of Course - © 2009 SANS 15
15
16. W3AF/Plugins/evasion
shiftOutShiftInBetweenDots
backSpaceBetweenDots
rndPath
selfReference
modsecurity
1) Plugins para utilizar técnicas rndCase
de evasão para fugir de rndHexEncode
ambientes controlados
reversedSlashes
2) Para utilização em ataques
fullWidthEncode
rndParam
Title of Course - © 2009 SANS 16
16
17. W3AF/Plugins/bruteforce
formAuthBrute
basicAuthBrute
1) Tentam força-bruta em
HTTP Basic e Form Login
2) Para utilização quando um
plugin discovery encontra
um objeto aplicável
Title of Course - © 2009 SANS 17
17