Upgrade to Pro — share decks privately, control downloads, hide ads and more …

w3Af – система с открытым исходным кодом для пр...

oxdef
April 05, 2009
Programming
0
44

w3Af – система с открытым исходным кодом для проведения аудита безопасности веб­приложений

РусКрипто 2009

oxdef

April 05, 2009
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
150
Keynote at ZeroNights X (2021)
oxdef
0
120
Security Culture: Here be Hackers
oxdef
0
470
OWASP Top 10 - 2017 What’s inside?
oxdef
0
480
И разработчик станет хакером!
oxdef
0
37
Implementing Content Security Policy at a Large Scale
oxdef
0
510
Security in developer’s life: knowledge is power
oxdef
0
320
HTTPS by default - no more clear
oxdef
0
29
Web Application Security: future standards and technologies
oxdef
0
320

Other Decks in Programming

See All in Programming
ピラミッド、アイスクリームコーン、SMURF: 自動テストの最適バランスを求めて / Pyramid Ice-Cream-Cone and SMURF
twada
PRO
10
1.3k
Duckdb-Wasmでローカルダッシュボードを作ってみた
nkforwork
0
120
2024/11/8 関西Kaggler会 2024 #3 / Kaggle Kernel で Gemma 2 × vLLM を動かす。
kohecchi
5
910
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
初めてDefinitelyTypedにPRを出した話
syumai
0
400
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520
RubyLSPのマルチバイト文字対応
notfounds
0
120
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
1
100
WebフロントエンドにおけるGraphQL(あるいはバックエンドのAPI)との向き合い方 / #241106_plk_frontend
izumin5210
4
1.4k
Creating a Free Video Ad Network on the Edge
mizoguchicoji
0
120
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
110

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Designing the Hi-DPI Web
ddemaree
280
34k
A Philosophy of Restraint
colly
203
16k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Faster Mobile Websites
deanohume
305
30k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Scaling GitHub
holman
458
140k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Into the Great Unknown - MozCon
thekraken
32
1.5k
GitHub's CSS Performance
jonrohan
1030
460k
Become a Pro
speakerdeck
PRO
25
5k

Transcript

  1. [spec@baza w3af]$ echo «w3Af – система с открытым исходным кодом

    для проведения аудита безопасности веб­приложений» Первый слайд

  2. Тарас Иващенко Специалист отдела общего аудита Департамента Аудита, Компания «Информзащита»

    OSCP W3AF – система с открытым исходным кодом для проведения аудита безопасности веб-приложений

  3. Существующие решения • Проприаритарное ПО (IBM Rational WebScan, Xspider) –

    Высокая цена – Как правило, плохая расширяемость – Нет сообщества пользователей – Красивые отчёты • Свободное ПО (Nikto, WebScarab, SQLmap) – Множество небольших утилит для отдельных задач – Изобретаем велосипед вновь и вновь (Xcobra) – Плохая архитектура и расширяемость – Не всегда красивые отчёты

  4. Что такое W3AF? • Программное окружение для аудита безопасности веб-

    приложений с возможностью эксплуатации найденных уязвимостей • Лицензия - GNU General Public License Version 2 • Текущая версия – 1.0 Release Candidate 1 • Уже достаточно большой международный проект со своим сообществом • Автор и основатель проекта - Andrés Riancho (Аргентина)

  5. Основные особенности • Написано на Python – интерпетируемом языке “с

    батарейками” • Кроссплатформенность • Несколько пользовательских интерфейсов – GUI с использованием GTK – Консольный с удобным автодополнением • Возможность расширения: 134 расширения и их число постоянно растёт • Поддержка веб-сервисов • Возможность эксплуатации найденных уязвимостей

  6. Основные особенности - 2 • Ищет уязвимости везде: GET/POST запросы,

    HTTP- заголовки, содержание файлов • “Умный” поиск уязвимостей: например, когда входные данные отображаются при определённых условиях • Интегрированы существующие инструмены и их аналоги: sqlmap, pykto

  7. Архитектура • w3af в общем состоит из 2 главных частей:

    ядро и расширения. • Ядро координирует процессы и предоставляет определённый функционал расширениям. • Расширения обмениваются информацией друг с другом через “хранилище знаний”. • По возможности используются шаблоны проектирования.

  8. Потоки информации Discovery Bruteforce Audit Attack Grep Output Evasion

  9. Расширения • discovery - поиск новых целей(например, URL) и создания

    т.н. изменяемых запросов. • audit - поиск в найденных целях уязвимостей. • grep - фильтруют каждый HTTP-запрос и ответ на предмет вхождения определённой информации • attack - эксплуатация найденных уязвимостей • output - расширения вывода информации (текстовый файл, консоль или HTML-файл). • mangle - вносят изменения в HTTP-запросы и ответы в соответствии с регулярными выражениями

  10. Расширения • evasion - изменяют HTTP-запросы для обхода систем обнаружения

    вторжений. • bruteforce - перебор имен пользователей.

  11. Все любят скриншоты и демо!

  12. W3AF GUI

  13. Получение удалённого доступа через SQL-инъекцию - демонстрация

  14. Ссылки • W3AF – http://w3af.sourceforge.net/ • Обзорный список сканнеров веб-уязвимостей

    - http://sectools.org/web-scanners.html • IBM Rational AppScan – http://www- 01.ibm.com/software/awdtools/appscan/ • Nikto – http://www.cirt.net/code/nikto.shtml • WebScarab - http://www.owasp.org/index.php/Category:OWASP_WebSc arab_Project • WebScarab – http://www.acunetix.com/ • XSpider - http://www.ptsecurity.com/

  15. Вопросы?