W3af
w3af je otevřený bezpečnostní skener webových aplikací. Tento software nabízí skener zranitelností a exploitační nástroje pro webové aplikace.[1] Získává informace o bezpečnostních zranitelnostech a poskytuje rady pro testování průniku.
Aktuální verze | 1.6.54 (10. června 2015) |
---|---|
Operační systém | Microsoft Windows |
Vyvíjeno v | Python |
Typ softwaru | svobodný software |
Licence | GPLv2 |
Web | www |
Některá data mohou pocházet z datové položky. |
Tento multiplatformní nástroj je k dispozici ve všech populárních operačních systémech jako Microsoft Windows, Linux, Mac OS X, FreeBSD a OpenBSD a je napsaný v programovacím jazyce Python. Uživatel má dále na výběr mezi grafickým uživatelským rozhraním nebo příkazovou řádkou.[2]
w3af dokáže identifikovat mnoho zranitelností webových aplikací a používá k tomu více než 130 pluginů. Po identifikaci zranitelností jako jsou například: (Blind) SQL injection, vložení cizího (vzdáleného) souboru (v PHP), Cross-site scripting (XSS), nebo nezabezpečené nahrávání souborů, můžou být využity k získání různého druhu a úrovně přístupu ke vzdálenému systému.
Architektura
w3af je rozdělen do dvou hlavních částí, jádra a pluginů.[3] Jádro koordinuje chod a poskytuje funkce, které jsou využívané pluginy k hledání zranitelností a k jejich využití. Pluginy jsou vzájemně propojené a sdílejí mezi sebou informace.
Pluginy se dělí do několika kategorií:
- Průzkumné
- Kontrolní (Audit)
- Grep
- útočné
- výstupní
- Mangle
- Evasion
- používající hrubou sílu
Historie
w3af zahájil Andres Riancho v roce 2007, po mnoha letech vývoje komunitou. V srpnu roku 2010 w2af oznámila své partnerství a sponzorství od Rapid7. S pomocí od Rapid7 mohl projekt nabrat na rychlosti vývoje a udržet si růst z hlediska uživatelů a přispěvatelů.
Reference
V tomto článku byl použit překlad textu z článku w3af na anglické Wikipedii.
- www.w3af.org
- w3af documentation
- Part 1 of Andres Riancho’s presentation “w3af - A framework to 0wn the Web “at Sector 2009, Download PDF[nedostupný zdroj]