jueves, 10 de enero de 2013

W3af: Herramienta de auditoria web

Hoy hablaremos sobre una herramienta que me imagino ya muchos conocen, W3af.
En elementos de auditoria, no es nada menor, rápido y efectivo.



Este programa también me llamo mucho la atención, por su fácil uso y múltiples opciones. Aparte de venir con herramientas pensado en ataque con exploits… (Mucho ojo a eso!)


Bien, para iniciar el programa seguiremos la siguiente ruta: BackTrack/ Vulnerability Assessment/ Web Aplication / Web Vulnerability / w3af gui

El programa está en constante actualización, casi siempre que lo uso me pregunta si quiero actualizar, no me opongo ya que solo tarda unos segundos…

Cuenta con una interfaz muy simple, como se ve en la imagen, tenemos la opción de elegir el tipo de ataque y donde poner el objetivo o target.
 Esta vez será www.carechile.cl 




Bien, el tiempo puede depender de muchas cosas, ya sea si la pagina es muy grande o el tipo de Scan que usaremos, el "fast_sacan" no tarda más allá de unos 10 minutos.
 En las pestañas de la izquierda podemos ir revisando los resultados y los exploit.



El resultado es bastante claro, ya tenemos 12 errores SQL y 5 XSS , situación que no es menor.




Como conclusión W3af, queda entre la lista de los favoritos en relación a la auditoria y seguridad web, como les mencione al principio una herramienta muy rápida, simple y efectiva.