W3AF – Web App Attack &   Audit Framework    Leandro Quibem Magnabosco
W3AF/WebApp Pentest• 4 métodos básicos  – Scan automatizado  – Pentest manual  – Análise estática  – Inspeção de código   ...
WebApp Sec ScannersOpen Source• Pequenas ferramentas sem  integração com nada• Cada ferramenta reinventa a roda• Sem comun...
WebApp Sec ScannersSoftware Proprietário• Alto preço• Ainda pouca extensibilidade• Bons “reports”• Sem suporte integrado p...
WebApp Sec ScannersW3AF é:→ Metasploit p/ WebApps  Web Application ATTACK and  AUDIT Framework  GPLv2  Scanner de vulne...
W3AF/WebApp PentestCaracterísticas:  Identifica quase todas as  vulnerabilidades existentes em  WebApps usando mais de 15...
W3AF/WebApp PentestCaracterísticas:  Muito simples para extender suas  funcionalidades  Suporta SQL Injection “cega”  C...
W3AF/WebApp PentestCaracterísticas:  Possui sinergia com os plugins  Fuzzer inteligente  MITM Proxy  Fuzzy Request Gen...
W3AF/Tipos de Plugins                  1)   discovery                  2)   audit                  3)   grep              ...
W3AF/Plugins/discovery                                 webSpider                                 urlFuzzer                ...
W3AF/Plugins/audit                                  xsrf (Cross site request                                    Forgery)  ...
W3AF/Plugins/grep                                 dotNetEventValidation                                 pathDisclosure    ...
W3AF/Plugins/attack                               sqlmap                               osCommandingShell                  ...
W3AF/Plugins/output                               htmlFile                               xmlFile                          ...
W3AF/Plugins/mangle                                Filho solitário:                                sed1) Editor de Stream ...
W3AF/Plugins/evasion                                    shiftOutShiftInBetweenDots                                    back...
W3AF/Plugins/bruteforce                               formAuthBrute                               basicAuthBrute1) Tentam ...
W3AF/Telas/MainWindow    Title of Course - © 2009 SANS   18                                    18
W3AF/Telas/Sitemap  Title of Course - © 2009 SANS   19                                  19
W3AF/Sitehttp//w3af.sourceforge.nethttp://w3af.sourceforge.net/features.phphttp://w3af.sourceforge.net/plugin-descriptions...
FIMDúvidas?Title of Course - © 2009 SANS   21                                21
Upcoming SlideShare
Loading in …5
×

W3af - Web Attack and Audit Framework

1,312 views

Published on

Apresentação sobre W3AF para a cadeira de Segurança em Sistemas Distribuidos no mestrado de Ciências da Computação / UFSC.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,312
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

W3af - Web Attack and Audit Framework

  1. 1. W3AF – Web App Attack & Audit Framework Leandro Quibem Magnabosco
  2. 2. W3AF/WebApp Pentest• 4 métodos básicos – Scan automatizado – Pentest manual – Análise estática – Inspeção de código Title of Course - © 2009 SANS 2 2
  3. 3. WebApp Sec ScannersOpen Source• Pequenas ferramentas sem integração com nada• Cada ferramenta reinventa a roda• Sem comunidade de usuários• Não geram “reports”• Não são extensíveis Title of Course - © 2009 SANS 3 3
  4. 4. WebApp Sec ScannersSoftware Proprietário• Alto preço• Ainda pouca extensibilidade• Bons “reports”• Sem suporte integrado para exploiting Title of Course - © 2009 SANS 4 4
  5. 5. WebApp Sec ScannersW3AF é:→ Metasploit p/ WebApps Web Application ATTACK and AUDIT Framework GPLv2 Scanner de vulnerabilidades Ferramenta para explorar falhas Title of Course - © 2009 SANS 5 5
  6. 6. W3AF/WebApp PentestCaracterísticas: Identifica quase todas as vulnerabilidades existentes em WebApps usando mais de 150 plugins Escrito em Python (cross-platform) GUI (GTK) e Console Title of Course - © 2009 SANS 6 6
  7. 7. W3AF/WebApp PentestCaracterísticas: Muito simples para extender suas funcionalidades Suporta SQL Injection “cega” Comandar o SO explorado Envio de arquivos XSS Title of Course - © 2009 SANS 7 7
  8. 8. W3AF/WebApp PentestCaracterísticas: Possui sinergia com os plugins Fuzzer inteligente MITM Proxy Fuzzy Request Generator COMUNIDADE ATIVA! Title of Course - © 2009 SANS 8 8
  9. 9. W3AF/Tipos de Plugins 1) discovery 2) audit 3) grep 4) attack 5) output 6) mangle 7) evasion 8) bruteforce Title of Course - © 2009 SANS 9 9
  10. 10. W3AF/Plugins/discovery webSpider urlFuzzer googleSpider pykto1)Procura novas URLs, formulários, etc. fingerMSN2)Cria um mapa completo do hmap site e seus recursos3)Disponibiliza dados para uso oracleDiscovery por outros plugins Title of Course - © 2009 SANS 10 10
  11. 11. W3AF/Plugins/audit xsrf (Cross site request Forgery) htaccessMethods Sqli SslCertificate1) Pega a saída dos plugins do tipo discovery e procura FileUpload vulnerabilidades MxInjection2) Vulnerabilidades descobertas são salvas como objetos OsCommanding vulneráveis em uma BuffOverflow database Title of Course - © 2009 SANS 11 11
  12. 12. W3AF/Plugins/grep dotNetEventValidation pathDisclosure codeDisclosure blankBody1) Trabalha a saída dos outros metaTags plugins e permite trabalhar com estes dados svnUsers2) Usa expressões regulares privateIP3) Encontra comportamentos directoryIndexing estranhos do WebServer Title of Course - © 2009 SANS 12 12
  13. 13. W3AF/Plugins/attack sqlmap osCommandingShell xssBeef localFileReader rfiProxy1) Utilizam os objetos remoteFileIncludeShell vulneráveis da database davShell interna eval2) Realizam um ataque e retornam o resultado fileUploadShell sql_webshell Title of Course - © 2009 SANS 13 13
  14. 14. W3AF/Plugins/output htmlFile xmlFile textFile console1) Gravam mensagens do gtkOutput Framework2) Suportam: – XML - HTML – Texto - Console – GTK Title of Course - © 2009 SANS 14 14
  15. 15. W3AF/Plugins/mangle Filho solitário: sed1) Editor de Stream para pedidos e respostas2) Para utilização em ataques Title of Course - © 2009 SANS 15 15
  16. 16. W3AF/Plugins/evasion shiftOutShiftInBetweenDots backSpaceBetweenDots rndPath selfReference modsecurity1) Plugins para utilizar técnicas rndCase de evasão para fugir de rndHexEncode ambientes controlados reversedSlashes2) Para utilização em ataques fullWidthEncode rndParam Title of Course - © 2009 SANS 16 16
  17. 17. W3AF/Plugins/bruteforce formAuthBrute basicAuthBrute1) Tentam força-bruta em HTTP Basic e Form Login2) Para utilização quando um plugin discovery encontra um objeto aplicável Title of Course - © 2009 SANS 17 17
  18. 18. W3AF/Telas/MainWindow Title of Course - © 2009 SANS 18 18
  19. 19. W3AF/Telas/Sitemap Title of Course - © 2009 SANS 19 19
  20. 20. W3AF/Sitehttp//w3af.sourceforge.nethttp://w3af.sourceforge.net/features.phphttp://w3af.sourceforge.net/plugin-descriptions.phphttp://w3af.sourceforge.net/videos/video-demos.php Title of Course - © 2009 SANS 20 20
  21. 21. FIMDúvidas?Title of Course - © 2009 SANS 21 21

×