2008
01.21

Cuando fui a la Ekoparty Security Conference el pasado mes de Noviembre-Diciembre, conocí este Framework de seguridad orientado a auditar, descubrir y explotar vulnerabilidades web. El mismo esta escrito en Python. Se estima que para Febrero-Marzo Andres Riancho, el autor, va a publicar la beta 6 junto con una nueva GUI escrita mayormente por Facundo Batista en PyGTK. He estado usando bastante el Framework buscándole fallas y reportándoselas en sourceforge.net a Andres y el agradecido las iba solucionando al poco tiempo, además me han dado tiempo en mi trabajo para que lo use y lo pruebe para así darle una mano en la estabilidad del mismo ya que el Framework es único y promete muchísimo. El Framework utiliza plugins que se dividen principalmente en 3 etapas, discovery, audit y attack. Los plugins de Discovery tienen solamente una responsabilidad y es la de encontrar nuevas URL’s, formularios y otros “puntos de inyección”. Los plugins de Audit tomando los “puntos de inyección” encontrados por los plugins de Discovery y envía datos especialmente preparados para encontrar vulnerabilidades. El objetivo de los plugins de Attack es aprovechar las vulnerabilidades encontradas por los plugins Audit. Lo que estos últimos usualmente devuelven es una shell sobre el server remoto o hacen un dump de la base de datos en caso de un sql injection. La web del Framework es http://w3af.sourceforge.net. Pruébenlo pero primero lean la guía del usuario para entender como se usa la consola del w3af. Cualquier error que encuentren, ya saben, lo reportan en sourceforge.net , espero que no encuentren ninguno ;)

Translate »