Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Owasp AppSec NYC 2008 – w3af

auteur de l'article Robert DellImmagine , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Owasp AppSec NYC 2008 – w3af

Cette présentation de l’outil w3af (Web Application Attack and Audit Framework) a été effectuée par son auteur Andres Riancho. L’outil présenté est disponible en ppen-source et multi-plateforme car écrit en python. A noter que ce projet est choisi comme scanner pour l’OWASP. reste à son auteur à accepter de donner son code…


Andres a créer son outil car il était un peu lassé de tous les produits commerciaux a utiliser dans ses tests d’intrusions. Alors après avoir vu le principe de metasploit il a créer son propre framework orienté Web (écrit lui aussi en python comme les premières versions de metasploit).

w3af est divisé en deux parties ; le core qui gère les processus et la communication entre les plugins et les plugins classés en 8 catégories(découverte, audit, grep, attaques, affichage, modifieurs de requètes , evasion et brute force).

Nous avons pu avoir une démonstration de l’outil et de ses différentes fonctionnalités comme : tests d’injections SQL, CSRF, remote OS, shell, ….

L’avantage de ce produit est qu’étant écrit en python, il devient très simple de l’étendre, un peu a la mode scapy(r). Cela reste un très bon outil qui doit s’utiliser avec d’autres et des tests manuels néanmoins.

La roadmap de w3af est d’intégrer maintenant un GUI plus joli pour les novices, rajouté le support de javascript dans les attaques, augmenter la base des plugins d’attaques, stabiliser le produit, internationaliser le logiciel.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.