Hoy hablaremos sobre una herramienta que me imagino ya muchos
conocen, W3af.
En elementos de auditoria, no es nada menor, rápido y efectivo.
Este programa también me llamo mucho la atención, por su fácil
uso y múltiples opciones. Aparte de venir con herramientas pensado en ataque con exploits… (Mucho ojo a eso!)
Bien, para iniciar el programa seguiremos la siguiente ruta:
BackTrack/ Vulnerability Assessment/ Web Aplication / Web Vulnerability / w3af
gui
El programa está en constante actualización, casi siempre
que lo uso me pregunta si quiero actualizar, no me opongo ya que solo tarda
unos segundos…
Cuenta con una interfaz muy simple, como se ve en la imagen, tenemos la opción de elegir el tipo de ataque y donde poner el objetivo o target.
Esta vez será www.carechile.cl
Bien, el tiempo puede depender de muchas cosas, ya sea si la pagina es muy grande o el tipo de Scan que usaremos, el "fast_sacan" no tarda más allá de unos 10 minutos.
En las pestañas de la izquierda podemos ir revisando los resultados y los exploit.
El resultado es bastante claro, ya tenemos 12 errores SQL y 5 XSS , situación que no es menor.
Como conclusión W3af, queda entre la lista de los favoritos en relación a la auditoria y seguridad web, como les mencione al principio una herramienta muy rápida, simple y efectiva.