W3af

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

w3af je otevřený bezpečnostní skener webových aplikací. Tento software nabízí skener zranitelností a exploitační nástroje pro webové aplikace.[1] Získává informace o bezpečnostních zranitelnostech a poskytuje rady pro testování průniku.

Tento multiplatformní nástroj je k dispozici ve všech populárních operačních systémech jako Microsoft Windows, Linux, Mac OS X, FreeBSD a OpenBSD a je napsaný v programovacím jazyce Python. Uživatel má dále na výběr mezi grafickým uživatelským rozhraním nebo příkazovou řádkou.[2]

w3af dokáže identifikovat mnoho zranitelností webových aplikací a používá k tomu více než 130 pluginů. Po identifikaci zranitelností jako jsou například: (Blind) SQL injection, vložení cizího (vzdáleného) souboru (v PHP), Cross-site scripting (XSS), nebo nezabezpečené nahrávání souborů, můžou být využity k získání různého druhu a úrovně přístupu ke vzdálenému systému.

Architektura[editovat | editovat zdroj]

w3af je rozdělen do dvou hlavních částí, jádra a pluginů.[3] Jádro koordinuje chod a poskytuje funkce, které jsou využívané pluginy k hledání zranitelností a k jejich využití. Pluginy jsou vzájemně propojené a sdílejí mezi sebou informace.

Pluginy se dělí do několika kategorií:

  • Průzkumné
  • Kontrolní (Audit)
  • Grep
  • útočné
  • výstupní
  • Mangle
  • Evasion
  • používající hrubou sílu

Historie[editovat | editovat zdroj]

w3af zahájil Andres Riancho v roce 2007, po mnoha letech vývoje komunitou. V srpnu roku 2010 w2af oznámila své partnerství a sponzorství od Rapid7. S pomocí od Rapid7 mohl projekt nabrat na rychlosti vývoje a udržet si růst z hlediska uživatelů a přispěvatelů.

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku w3af na anglické Wikipedii.

  1. www.w3af.org
  2. w3af documentation
  3. Part 1 of Andres Riancho’s presentation “w3af - A framework to 0wn the Web “at Sector 2009, Download PDF