O documento descreve o W3AF, um framework open source para auditoria e ataque de aplicações web. Ele possui mais de 150 plugins para identificar vulnerabilidades, realizar fuzzing, auditoria e exploração de falhas. O W3AF mapeia completamente os sites e recursos e fornece relatórios de vulnerabilidades.

1. W3AF – Web App Attack &
Audit Framework
Leandro Quibem Magnabosco

2. W3AF/WebApp Pentest
• 4 métodos básicos
– Scan automatizado
– Pentest manual
– Análise estática
– Inspeção de código
Title of Course - © 2009 SANS 2
2

3. WebApp Sec Scanners
Open Source
• Pequenas ferramentas sem
integração com nada
• Cada ferramenta reinventa a roda
• Sem comunidade de usuários
• Não geram “reports”
• Não são extensíveis
Title of Course - © 2009 SANS 3
3

4. WebApp Sec Scanners
Software Proprietário
• Alto preço
• Ainda pouca extensibilidade
• Bons “reports”
• Sem suporte integrado para
exploiting
Title of Course - © 2009 SANS 4
4

5. WebApp Sec Scanners
W3AF é:
→ Metasploit p/ WebApps

Web Application ATTACK and
AUDIT Framework

GPLv2

Scanner de vulnerabilidades

Ferramenta para explorar falhas
Title of Course - © 2009 SANS 5
5

6. W3AF/WebApp Pentest
Características:

Identifica quase todas as
vulnerabilidades existentes em
WebApps usando mais de 150
plugins

Escrito em Python (cross-platform)

GUI (GTK) e Console
Title of Course - © 2009 SANS 6
6

7. W3AF/WebApp Pentest
Características:

Muito simples para extender suas
funcionalidades

Suporta SQL Injection “cega”

Comandar o SO explorado

Envio de arquivos

XSS
Title of Course - © 2009 SANS 7
7

8. W3AF/WebApp Pentest
Características:

Possui sinergia com os plugins

Fuzzer inteligente

MITM Proxy

Fuzzy Request Generator

COMUNIDADE ATIVA!
Title of Course - © 2009 SANS 8
8

9. W3AF/Tipos de Plugins
1) discovery
2) audit
3) grep
4) attack
5) output
6) mangle
7) evasion
8) bruteforce
Title of Course - © 2009 SANS 9
9

10. W3AF/Plugins/discovery
webSpider
urlFuzzer
googleSpider
pykto
1)Procura novas URLs,
formulários, etc. fingerMSN
2)Cria um mapa completo do hmap
site e seus recursos
3)Disponibiliza dados para uso oracleDiscovery
por outros plugins
Title of Course - © 2009 SANS 10
10

11. W3AF/Plugins/audit
xsrf (Cross site request
Forgery)
htaccessMethods
Sqli
SslCertificate
1) Pega a saída dos plugins do
tipo discovery e procura
FileUpload
vulnerabilidades MxInjection
2) Vulnerabilidades descobertas
são salvas como objetos
OsCommanding
vulneráveis em uma BuffOverflow
database
Title of Course - © 2009 SANS 11
11

12. W3AF/Plugins/grep
dotNetEventValidation
pathDisclosure
codeDisclosure
blankBody
1) Trabalha a saída dos outros metaTags
plugins e permite trabalhar
com estes dados
svnUsers
2) Usa expressões regulares privateIP
3) Encontra comportamentos directoryIndexing
estranhos do WebServer
Title of Course - © 2009 SANS 12
12

13. W3AF/Plugins/attack
sqlmap
osCommandingShell
xssBeef
localFileReader
rfiProxy
1) Utilizam os objetos remoteFileIncludeShell
vulneráveis da database davShell
interna
eval
2) Realizam um ataque e
retornam o resultado fileUploadShell
sql_webshell
Title of Course - © 2009 SANS 13
13

14. W3AF/Plugins/output
htmlFile
xmlFile
textFile
console
1) Gravam mensagens do gtkOutput
Framework
2) Suportam:
– XML - HTML
– Texto - Console
– GTK
Title of Course - © 2009 SANS 14
14

15. W3AF/Plugins/mangle
Filho solitário:
sed
1) Editor de Stream para
pedidos e respostas
2) Para utilização em ataques
Title of Course - © 2009 SANS 15
15

16. W3AF/Plugins/evasion
shiftOutShiftInBetweenDots
backSpaceBetweenDots
rndPath
selfReference
modsecurity
1) Plugins para utilizar técnicas rndCase
de evasão para fugir de rndHexEncode
ambientes controlados
reversedSlashes
2) Para utilização em ataques
fullWidthEncode
rndParam
Title of Course - © 2009 SANS 16
16

17. W3AF/Plugins/bruteforce
formAuthBrute
basicAuthBrute
1) Tentam força-bruta em
HTTP Basic e Form Login
2) Para utilização quando um
plugin discovery encontra
um objeto aplicável
Title of Course - © 2009 SANS 17
17

18. W3AF/Telas/MainWindow
Title of Course - © 2009 SANS 18
18

19. W3AF/Telas/Sitemap
Title of Course - © 2009 SANS 19
19

20. W3AF/Site
http//w3af.sourceforge.net
http://w3af.sourceforge.net/features.php
http://w3af.sourceforge.net/plugin-descriptions.php
http://w3af.sourceforge.net/videos/video-demos.php
Title of Course - © 2009 SANS 20
20

21. FIM
Dúvidas?
Title of Course - © 2009 SANS 21
21