Взлом и проверка на уязвимости

W3af – фреймворк для атак и проверки веб-приложений

W3af – это платформа, основанная на графическом интерфейсе, которая помогает в аудите и выявлении уязвимостей в веб-приложениях. Инструмент загружен рядом полезных плагинов, которые могут сканировать веб-сайт для более чем 200 типов уязвимостей. Доступные в настоящее время плагины включают:

  • аудит,
  • аутентификация,
  • брутфорс,
  • обход,
  • уклонение,
  • grep,
  • инфраструктуру,
  • маневр.

Каждый плагин имеет другой набор целей сканирования. Например, плагин аудита предоставляет возможность сканировать веб-сайт на наличие ряда уязвимостей, таких как:

  • SQL-инъекции,
  • уязвимости переполнения буфера,
  • уязвимости оболочки,
  • межсайтовый скриптинг,
  • уязвимости при расширении страниц,
  • фишинг-векторы,
  • командование os.

Точно так же плагин обхода сканирует целевое веб-приложение для бэкдор-эксплойтов, проблем с каталогами и уязвимостей подкаталогов.

Установка W3af на Kali Linux

Клонирование инструмента с репозитория

W3af может быть установлен на Kali Linux путем клонирования с репозитория github с помощью команды:

git clone https://github.com/andresriancho/w3af.git

Зависимости инструмента W3af могут быть установлены с помощью следующих команд:

cd w3af
./w3af_console
. /tmp/w3af_dependency_install.sh

Также вы можете установить Kali Linux на операционную систему Windows 10.

Работаем с W3af на операционной системе на базе ядра Linux

Запуск GUI инструмента w3af на Kali Linux

Запуск GUI W3af происходит с помощью следующей команды:

w3af_gui

Команда открывает окно пользовательского интерфейса W3af, как показано на следующем снимке экрана. Окно GUI содержит список профилей и параметров сканирования в виде плагинов. Можно настроить свой профиль или же выбрать один из предварительно настроенных для сканирования целевого веб-приложения.

Профили и плагины w3af

Предположим, мы хотим отсканировать веб-сайт для возможных бэкдоров. Чтобы выполнить эту задачу, нам нужно выбрать плагин, связанный с бэкдором, из списка и запустить процесс проверки. Инструмент проверяет целевой сайт на несколько обратных ссылок. Если бэкдора не существует, веб-сайт возвращает код 404 (не найден), как показано на следующем скриншоте. Подробности можно проанализировать на вкладке «результаты» в графическом интерфейсе.

Сканирование на наличие backdoor

Выводы и положительные аспекты W3af

W3af имеет широкий диапазон плагинов, которые могут выполнять проверки и сканирования веб-приложений для 200 + уязвимостей. Определения предоставляются для каждого параметра, используемого в плагине, для понимания функциональности параметров, используемых в плагинах. Интерфейс GUI обеспечивает более удобный способ анализа результатов сканирования.

Подписывайтесь на обновления сайта, а также наш Telegram.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close