Archivo

Posts Tagged ‘w3af hacking’

Tortazo: Utilizando el plugin de W3AF contra aplicaciones web en la Deep Web de TOR.

abril 25, 2014 2 comentarios

W3AF es un framework que permite ejecutar pruebas de auditoria contra aplicaciones web, ayuda en la detección de vulnerabilidades y su posterior explotación. No solamente permite encontrar vulnerabilidades, sino que también permite generar una consola; cuando las condiciones lo permiten, en el servidor web vulnerable. Sin embargo, W3AF no se encuentra preparado para ejecutar auditorias contra una aplicación web alojada en la deep web de TOR, por este motivo se ha desarrollado un plugin en Tortazo para extender las funcionalidades de W3AF a la hora de ejecutar pruebas de penetración contra aplicaciones en la deep web de TOR.
El siguiente vídeo enseña el uso básico de este plugin en Tortazo.

Ver en HD.  :-)

Saludos y Happy Hack!

W3AFRemote r01 Liberado…

febrero 13, 2013 Deja un comentario

El día de hoy, después de algunos meses, he liberado la primera versión (espero que mas o menos estable) de W3AFRemote: http://sourceforge.net/projects/w3afremote/.

Es una librería que mencionado en alguna ocasión en mi twitter, pero que hasta el momento no había enseñado.

Antes que nada, explicaré un poco como ha surgido esto y para que sirve, como seguramente muchos de vosotros ya sabéis  W3AF es una potente herramienta que permite realizar actividades de pentesting sobre aplicaciones web y permite detectar y explotar vulnerabilidades utilizando uno o varios de los plugins incluidos en W3AF, los cuales se encuentran correctamente ordenados por familias, las que a su vez, representan una “fase” del procedimiento de auditoria y ataque, aunque esta muy bien, para desarrolladores (como yo) es difícil de integrar en aplicaciones existentes o que se encuentran en estado de desarrollo, en mi caso concreto, me encontraba desarrollando DENRIT (otra herramienta que espero liberar próximamente y de la que hablaré en una próxima entrada) y me encontraba con la necesidad de interactuar desde mi aplicación con W3AF, dado que W3AF es una aplicación que se ejecuta en modo “stand-alone” y no cuenta con un servicio que permita a otros desarrolladores interactuar con el framework de forma directa (tal como se suele hacer con Metasploit Framework con su servicio MSFRPCD) me encontraba con esta gran dificultad, querer integrar la potencia de W3AF en mi aplicación, pero no contar con una API o una interfaz que me permitiera enviar comandos al framework y dejar que esté “Haga lo suyo”. Dado que supongo, que muchos otros desarolladores se han encontrado en una situación similar, me decidí por escribir un servicio XML-RPC para interactuar con las potencialidades de W3AF y es así como en un derroche de creatividad y originalidad, se me ocurrió nombrar a esta herramienta W3AFRemote… Si, adelante, reíros! XD

Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección y alarmas de Snort utilizando W3AF – Parte IX

febrero 29, 2012 Deja un comentario

En esta ocasión indicaré el uso de W3AF para evadir sistemas de detección de intrusos y sistemas de prevención de intrusos (IDS/IPS), en este caso concreto, se intentará indicar las pruebas que se han realizado contra Snort ejecutándose como NIDS. Para esto se utilizan técnicas de evasión en W3AF (en algunas ocasiones accediendo y modificando directamente el código del proyecto que se encuentra escrito en Python). Estas técnicas ejecutan procedimientos de evasión partiendo de la base que muchos de los IDS/IPS del mercado detectan amenazas en función a determinadas “firmas” o patrones de comportamiento que son identificados como anómalos o maliciosos. Los “tips” de evasión presentados aquí lo que realmente hacen es modificar las peticiones realizadas a un servidor web para que dichas peticiones no se ajusten a los patrones que esperan los IDS/IPS.

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.119 seguidores

A %d blogueros les gusta esto: