W3af (Web Application Attack and Audit Framework) Se trata de un framework que permite realizar diferentes tipos de pruebas contra aplicaciones web para determinar que vulnerabilidades puede tener dicha aplicación detallando niveles de criticidad en función al impacto que puedan llegar a tener estas sobre la infraestructura web o sobre sus clientes, en algunos casos se ha dicho que este framework es “El metasploit para aplicaciones web” dado que se trata de un framework bastante completo y con unas capacidades que difícilmente se encuentran en otras herramientas de la misma índole. Está escrito en el Python y está disponible en los sistemas operativos más conocidos.
Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos.
Se trata de un framework libre, licenciado bajo la GNU/GPLv2 lo que quiere decir que su código se encuentra disponible al publico, ademas de que se puede usar, modificar y redistribuir si es lo que le interesa al usuario.
El proceso de instalación se realiza como indicaré a continuación:
Para instalar W3AF, contamos con 2 mecanismos, en primer lugar en distribuciones basadas en Debian es posible descargarlo desde los repositorios oficiales, dado que se incluye como software, simplemente ejecutando:
apt-get install w3a
Con esto no se obtiene la ultima versión disponible, actualmente en los repositorios se incluye solamente la versión 1.0r3 , se puede obtener la ultima versión desde el repositorio en SubVersion
svn co w3af
Si se opta por seguir este procedimiento (recomendado), es necesario tener las siguientes dependencias instaladas en orden de conseguir que el framework pueda ser utilizado correctamente:
Las anteriores son para ejecutar W3AF desde consola, si se desea tener el entorno gráfico (opcional), se deben instalar las siguientes:
La mayoría de estas librerías se encuentran incluidas en las ultimas versiones de Debian y/o Ubuntu, sin embargo, si la instalación de alguna, da algún tipo de fallo o deben instalarse manualmente, el framework incluye todas estas librerías necesarias para ser instaladas manualmente desde el directorio extlib/
Ahora, para probar que se encuentra correctamente configurado todo el entorno, basta con dirigirse al directorio donde se ha descargado el Framework y ejecutar el comando
./w3af_console
Si se encuentra el entorno con todas las librerías correctamente configuradas, con esto se abrirá la consola de w3af lista para recibir comandos, por otro lado para ejecutar la interfaz GTK, desde el mismo directorio ejecutar:
./w3af_gui
Con este comando se abrirá la la interfaz gráfica para ingresar comandos.