Owasp AppSec NYC 2008 – w3af Robert DellImmagine le 4 octobre 2008 à 19h50, dans la rubrique Produits & Technologies Commentaires fermés sur Owasp AppSec NYC 2008 – w3af auditowasppentesting Cette présentation de l’outil w3af (Web Application Attack and Audit Framework) a été effectuée par son auteur Andres Riancho. L’outil présenté est disponible en ppen-source et multi-plateforme car écrit en python. A noter que ce projet est choisi comme scanner pour l’OWASP. reste à son auteur à accepter de donner son code… Andres a créer son outil car il était un peu lassé de tous les produits commerciaux a utiliser dans ses tests d’intrusions. Alors après avoir vu le principe de metasploit il a créer son propre framework orienté Web (écrit lui aussi en python comme les premières versions de metasploit). w3af est divisé en deux parties ; le core qui gère les processus et la communication entre les plugins et les plugins classés en 8 catégories(découverte, audit, grep, attaques, affichage, modifieurs de requètes , evasion et brute force). Nous avons pu avoir une démonstration de l’outil et de ses différentes fonctionnalités comme : tests d’injections SQL, CSRF, remote OS, shell, …. L’avantage de ce produit est qu’étant écrit en python, il devient très simple de l’étendre, un peu a la mode scapy(r). Cela reste un très bon outil qui doit s’utiliser avec d’autres et des tests manuels néanmoins. La roadmap de w3af est d’intégrer maintenant un GUI plus joli pour les novices, rajouté le support de javascript dans les attaques, augmenter la base des plugins d’attaques, stabiliser le produit, internationaliser le logiciel. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!