W3af

v1W3af (Web Application Attack and Audit Framework) Se trata de un framework que permite realizar diferentes tipos de pruebas contra aplicaciones web para determinar que vulnerabilidades puede tener dicha aplicación detallando niveles de criticidad en función al impacto que puedan llegar a tener estas sobre la infraestructura web o sobre sus clientes, en algunos casos se ha dicho que este framework es “El metasploit para aplicaciones web” dado que se trata de un framework bastante completo y con unas capacidades que difícilmente se encuentran en otras herramientas de la misma índole. Está escrito en el Python y está disponible en los sistemas operativos más conocidos.

 

Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos.

w3af1

Se trata de un framework libre, licenciado bajo la GNU/GPLv2 lo que quiere decir que su código se encuentra disponible al publico, ademas de que se puede usar, modificar y redistribuir si es lo que le interesa al usuario.

 El proceso de instalación se realiza como indicaré a continuación:

Para instalar W3AF, contamos con 2 mecanismos, en primer lugar en distribuciones basadas en Debian es posible descargarlo desde los repositorios oficiales, dado que se incluye como software, simplemente ejecutando:

apt-get install w3a

Con esto no se obtiene la ultima versión disponible, actualmente en los repositorios se incluye solamente la versión 1.0r3 , se puede obtener la ultima versión desde el repositorio en SubVersion

svn co w3af

Si se opta por seguir este procedimiento (recomendado), es necesario tener las siguientes dependencias instaladas en orden de conseguir que el framework pueda ser utilizado correctamente:

  • Python 2.5 o superior apt-get install python
  • Librerias Python: apt-get install nlkt python-nltk python-lxml python-svn python-fpconst python-pygooglechart python-soappy python-openssl python-scapy python-lxml python-svn

Las anteriores son para ejecutar W3AF desde consola, si se desea tener el entorno gráfico (opcional), se deben instalar las siguientes:

  • graphviz: apt-get install graphviz

La mayoría de estas librerías se encuentran incluidas en las ultimas versiones de Debian y/o Ubuntu, sin embargo, si la instalación de alguna, da algún tipo de fallo o deben instalarse manualmente, el framework incluye todas estas librerías necesarias para ser instaladas manualmente desde el directorio extlib/

 Ahora, para probar que se encuentra correctamente configurado todo el entorno, basta con dirigirse al directorio donde se ha descargado el Framework y ejecutar el comando

 ./w3af_console

 Si se encuentra el entorno con todas las librerías correctamente configuradas, con esto se abrirá la consola de w3af lista para recibir comandos, por otro lado para ejecutar la interfaz GTK, desde el mismo directorio ejecutar:

 ./w3af_gui

 Con este comando se abrirá la la interfaz gráfica para ingresar comandos.

Acerca de Voluntari@

1
Deja una respuesta

avatar
1 Hilos de comentario
0 Respuestas de hilo
0 Seguidores
 
Comentario más reaccionado
El hilo de comentarios más caliente
1 Autores de comentarios
Isamel Autores de comentarios recientes
  Suscribirse  
Los más recientes Los más antiguos Más votados
Notificarme las
Isamel
Invitado
Isamel

Wow interesante Jessica 🙂 que hermosa eres. 🙂

Suscríbete gratis

Suscríbete gratis

Recibe las últimas noticias y novedades de LiGNUx en tu email.
Sin publicidad, sin Spam.

Gracias por suscribirte a LiGNUx.

Share This