Scan je webapplicaties met w3af

door

scanner

door

Tips en tools - Als je je webapplicaties wil controleren op kwetsbaarheden voor beveiligingsfouten of wil zien welke informatie je webserver prijsgeeft aan aanvallers, dan komt het opensource-project w3af ter hulp

W3af (Web Application Attack and Audit Framework) doet wat zijn naam beschrijft: dit in Python geschreven framework laat gebruikers toe om eenvoudig beveiligingsgaten in webapplicaties te ontdekken en uit te buiten. Het project wordt gesponsord door Rapid7, de ontwikkelaars van het vulnerability testing framework Metasploit.

Plugins

W3af beschikt zowel over een commandline-interface als over een grafische front-end. Het programma is modulair opgebouwd en heeft alle acties die je kunt uitvoeren in afzonderlijke plugins ondergebracht zodat het framework eenvoudig uit te breiden is met extra functionaliteit.

Zo zijn er discovery-plugins, die allerlei informatie over de gescande website proberen te bekomen, zoals de software en versienummers waarop de website draait, de urls, enzovoort. Vermoed je dat een IDS (Intrusion Detection System) je pogingen om met de website te verbinden kan dwarsbomen, dan gebruik je een plugin uit de categorie evasion.

Aanvallen

De audit-plugins vormen natuurlijk de interessantste categorie. Deze proberen actief exploits uit om op de aanwezigheid van kwetsbaarheden te controleren. Zo zijn er plugins voor een cross-site scripting (XSS) aanval, voor SQL-injecties, buffer overflows, verkeerd geconfigureerde .htaccess-bestanden, enzovoort.

Met de brute foce plugins kun je allerlei combinaties van gebruikersnaam en wachtwoord voor een login via HTTP Basic Auth of een formulier automatisch uitproberen. En voor de analyse van alle gegevens die je te zien krijgt, zijn er de grep-plugins, waarmee je bijvoorbeeld kunt zoeken naar commentaren, paden of privé ip-adressen. Tot slot zijn er ook nog plugins die het uitvoerformaat van de gegevens vastleggen, zoals tekst of html.

Documentatie

W3af wordt verspreid onder de GPLv2-licentie en is te downloaden voor Windows en Linux. Voor meer informatie bevat de website wat documentatie, waaronder de w3af user guide die een introductie tot het framework levert. Uiteraard kun je ook een algemene en omvangrijker vulnerability scanner zoals Metasploit of OpenVAS gebruiken, maar het voordeel van w3af is dat dit specifiek toegespitst is op het controleren van webapplicaties.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.