Что такое W3af

W3af – это платформа, основанная на графическом интерфейсе, которая помогает в аудите и выявлении уязвимостей в веб-приложениях. Данный инструмент загружен рядом полезных плагинов, которые могут сканировать веб-сайт для более чем 200 типов уязвимостей.

Доступные в настоящее время плагины включают:

  • аудит
  • аутентификацию
  • брутфорс
  • обход
  • grep
  • инфраструктуру
  • маневр

Каждый плагин имеет другой набор целей сканирования.

Плагин аудита предоставляет возможность сканировать веб-сайт на наличие ряда уязвимостей, таких как:

  • SQL-инъекции
  • уязвимости переполнения буфера
  • уязвимости оболочки
  • межсайтовый скриптинг
  • уязвимости при расширении страниц
  • фишинг-векторы
  • командование os

Точно также плагин обхода сканирует целевое веб-приложение для бэкдор-эксплоийтов, проблем с каталогами и уязвимостей подкаталогов.

Особенности установки на Kali Linux

Устанавливается на Kali Linux путем клонирования с репозитория github:

git clone https://github.com/andresriancho/w3af.git

Зависимости инструмента W3af устанавливаются при помощи следующих команд:

cd w3af/w3af_console/tmp/w3af_dependency_install.sh

Также вы можете установить Kali Linux на операционную систему Windows 10.

Особенности работы W3af на базе ядра Linux

Запуск GUI происходит с помощью следующей команды:

w3af_gui

Команда открывает окно пользовательского интерфейса W3af.

Окно GUI содержит список профилей и параметров сканирования в виде плагинов.

Можно настроить свой профиль или же выбрать один из предварительно настроенных для сканирования целевого веб-приложения.

Предположим, мы хотим просканировать веб-сайт для возможных бэкдоров. Для выполнения задачи, нам нужно выбрать плагин для бекдора из списка, запустить процесс проверки.

Инструмент проверяет целевой сайт на несколько обратных ссылок.

Подробности можно проанализировать на вкладке «результаты» в графическом интерфейсе.w3af gui

W3af имеет широкий диапазон плагинов, которые могут выполнять проверки и сканирования веб-приложений для 200+ уязвимостей.

Определения предоставляются для каждого параметра, используемого в плагине, для понимания функциональности параметров, используемых в плагинах.

Графически интерфейс обеспечивает более удобный способ анализа результатов сканирования.