CONCEPTOS BASICOS – W3AF PENTESTING EN APLICACIONES WEB.
Se trata de un framework que permite realizar diferentes tipos de pruebas contra aplicaciones web para determinar que vulnerabilidades puede tener dicha aplicación detallando niveles de criticidad en función al impacto que puedan llegar a tener estas sobre la infraestructura web o sobre sus clientes, en algunos casos se ha dicho que este framework es “El metasploit para aplicaciones web” dado que se trata de un framework bastante completo y con unas capacidades que difícilmente se encuentran en otras herramientas de la misma índole (open source o comerciales).
Por otro lado, se trata de un framework libre, licenciado bajo la GNU/GPLv2 lo que quiere decir que su código se encuentra disponible al publico, ademas de que se puede usar, modificar y redistribuir si es lo que le interesa al usuario.
A continuación se indica como es el proceso de instalación:
INSTALACION
Para instalar W3AF, contamos con 2 mecanismos, en primer lugar en distribuciones basadas en Debian es posible descargarlo desde los repositorios oficiales, dado que se incluye como software, simplemente ejecutando:
apt-get install w3a |
Sin embargo, con esto no se obtiene la ultima versión disponible, actualmente en los repositorios se incluye solamente la versión 1.0r3
Por otro lado, se puede obtener la ultima versión desde el repositorio en SubVersion
svn co https://w3af.svn.sourceforge.net/svnroot/w3af/trunk w3af
Si se opta por seguir este procedimiento (recomendado), es necesario tener algunas dependencias instaladas en orden de conseguir que el framework pueda ser utilizado correctamente, estas dependencias son:
-
Python 2.5 o superior apt-get install python
-
Librerias Python: apt-get install nlkt python-nltk python-lxml python-svn python-fpconst python-pygooglechart python-soappy python-openssl python-scapy python-lxml python-svn
Las anteriores son para ejecutar W3AF desde consola, si se desea tener el entorno gráfico (opcional), se deben instalar las siguientes:
-
graphviz: apt-get install graphviz
La mayoría de estas librerías se encuentran incluidas en las ultimas versiones de Debian y/o Ubuntu, sin embargo, si la instalación de alguna, da algún tipo de fallo o deben instalarse manualmente, el framework incluye todas estas librerías necesarias para ser instaladas manualmente desde el directorio extlib/
Ahora, para probar que se encuentra correctamente configurado todo el entorno, basta con dirigirse al directorio donde se ha descargado el Framework y ejecutar el comando
./w3af_console
Si se encuentra el entorno con todas las librerías correctamente configuradas, con esto se abrirá la consola de w3af lista para recibir comandos, por otro lado para ejecutar la interfaz GTK, desde el mismo directorio ejecutar:
./w3af_gui
Con este comando se abrirá la la interfaz gráfica para ingresar comandos.
Esta corta entrada establece las bases para comenzar con a usar W3AF para auditar aplicaciones Web y realizar pruebas de penetración, profundizar en conceptos y demas temas pendientes, en la próxima entrada mas de W3AF.
Hola… Estoy comenzando con w3af y veo que tienes algunos artículos muy interesantes al respecto. Quizás puedas echarme un cable, si es así desde ya te lo agradezco. Me encuentro con la dificultad de que al parecer w3af requiere python 2.6 y la versión que tengo instalada actualmente es 2.7. por lo que he leído puedo descargar y compilar python2.6 y tener ambos en el sistema, pero esto me genera algunas dudas en cuanto a posibles problemas ulteriores. Aquí la pregunta… es posible modificar w3af para que utilice python2.7 sin mayores inconvenientes o ejecutarlo con algún parámetro que fuerce la utilización de python2.7? (asumo que existen diferencias entre ambas versiones). De no ser factible, si puedes aportar una posible solución o escribir un articulo sobre el tema… gracias. He intentado instalarlo de las dos formas que planteas, desde los repositorios o descargandolo y en ambos casos tengo el mismo problema.
Me gustaMe gusta
Oficialmente, la versión soportada por W3AF es la 2.6, sin embargo funciona perfectamente con la 2.7. Ahora, la cosa es distinta con la 3.0, en tal caso no es posible utilizar w3af.
Si tienes la 2.7 no deberías tener ningún problema en su uso (a menos claro que te falte instalar dependencias).
Me gustaMe gusta
Como dices… me faltaban un par de dependencias, pybloomfiltermmap y python-gtksourceview2. El problema se soluciono al instalarlas. Gracias
Me gustaMe gusta
Soy nuevo con el uso de w3af pero estoy realizando mi diplomado en Ingeniería informatica y deseo hacer una sistema que apartir del fichero que exporta el w3af despues de hacerle un analisis a una aplicacion web obtenga informacion relacionadas con la cantidad de vulnerabilidades, riesgos y inyecciones sql que se puedan realizar, pero no se como obtener esos datos de dicho fichero, no se realmente la nomenclatura o etiquetas que usa w3af a la hora de exportar estos datos en el fichero, si podrias ayudarme, aca te dejo mi correo ylgongora@estudiantes.uci.cu.Gracias de antemano.
Me gustaMe gusta
Actualmente no hay librerías en W3AF que permitan manipular la información que este framework genera, sin embargo, estas de suerte! actualmente me encuentro desarrollando una librería para consultar y extraer contenidos en formato XML directamente desde el framework, de momento me encuentro hablando con Andres Riancho, quien es el creador de esta herramienta para ultimar detalles a nivel técnico, sin embargo, desde ya te puedo adelantar, que antes de navidades, la primera versión de esta librería estará disponible en Sourceforge, tienes mi email de contacto por si quieres estar atento de los avances.
Un Saludo.
Me gustaLe gusta a 1 persona