29 de abril de 2013

Descubriendo vulnerabilidades web con w3af

w3af del acrónimo Web Application Attack and Audit Framework, es una de esas herramienta que una vez que comienzan a usarla es imposible dejarla de lado. Un proyecto libre encabezado por el Argentino Andrés Riancho, programado en Python y con la posibilidad de identificar mas de 200 vulnerabilidades web distintas tales como SQL Injection, Cross-Site Scripting, errores de configuración de Apache, CSRF, etc.


Para comprender un poco más el mecanismo de ejecución de w3af, existen varios perfiles predefinidos, totalmente configurables, cada uno con diferentes plugins activados, entre los perfiles predefinidos encontramos:

  • bruteforce
  • audit_high_risk
  • full_audit
  • OWASP_TOP10
  • web_infraestructure
  • fast_scan
  • sitemap


Otras de las bondades particulares de w3af es la posibilidades de ejecutarlo tanto en la consola de comandos como así también en GUI con una interfaz mucho más intuitiva.

Seguro vamos a estar explicando más a detalle cada uno de los perfiles y más configuraciones sobre esta fantástica herramienta capaz de detectar y explotar vulnerabilidades web de todo tipo.

Por eso les recomiendo descargar w3af desde su repositorio oficial en GitHub y comenzar a realizar las primeras pruebas.

$ git clone git://github.com/andresriancho/w3af.git

Dentro del mismo código del proyecto, podemos encontrar documentación tanto para realizar la instalación como para comenzar a dar los primeros comandos.

Saludos!

Enlace | w3af

Entradas populares