Upgrade to Pro — share decks privately, control downloads, hide ads and more …

w3Af – система с открытым исходным кодом для проведения аудита безопасности веб­приложений

oxdef
April 05, 2009
Programming
0
26

w3Af – система с открытым исходным кодом для проведения аудита безопасности веб­приложений

РусКрипто 2009

oxdef

April 05, 2009
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
120
Keynote at ZeroNights X (2021)
oxdef
0
94
Security Culture: Here be Hackers
oxdef
0
400
OWASP Top 10 - 2017 What’s inside?
oxdef
0
370
И разработчик станет хакером!
oxdef
0
33
Implementing Content Security Policy at a Large Scale
oxdef
0
410
Security in developer’s life: knowledge is power
oxdef
0
270
HTTPS by default - no more clear
oxdef
0
26
Web Application Security: future standards and technologies
oxdef
0
270

Other Decks in Programming

See All in Programming
2 週間で Twitter Bot を作ってみた
contour_gara
0
380
見た目から始める生産性向上
ikumatadokoro
7
840
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
5
920
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
140
Netty Chicago Java User Group 2024-04-17
sullis
0
170
PHPの次期バージョンはこの時期どうなっているのか - Internalsの開発体制について - PHPカンファレンス小田原
youkidearitai
PRO
1
190
Git Rebase
bkuhlmann
11
1.6k
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
250
PostmanでAPIの動作確認が楽になった話
h455h1
0
170
Zero Waste, Radical Magic, and Italian Graft – Quarkus Efficiency Secrets
hollycummins
0
230
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
930
[技育CAMPアカデミア]アイディアを形に!【超入門】スマホアプリ開発〜リリースまでの流れをご紹介
teamlab
PRO
0
370

Featured

See All Featured
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Designing for Performance
lara
601
67k
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
Practical Orchestrator
shlominoach
182
9.7k
Designing for humans not robots
tammielis
248
25k
Facilitating Awesome Meetings
lara
42
5.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Designing the Hi-DPI Web
ddemaree
276
33k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k

Transcript

  1. [spec@baza w3af]$ echo «w3Af – система с открытым исходным кодом

    для проведения аудита безопасности веб­приложений» Первый слайд

  2. Тарас Иващенко Специалист отдела общего аудита Департамента Аудита, Компания «Информзащита»

    OSCP W3AF – система с открытым исходным кодом для проведения аудита безопасности веб-приложений

  3. Существующие решения • Проприаритарное ПО (IBM Rational WebScan, Xspider) –

    Высокая цена – Как правило, плохая расширяемость – Нет сообщества пользователей – Красивые отчёты • Свободное ПО (Nikto, WebScarab, SQLmap) – Множество небольших утилит для отдельных задач – Изобретаем велосипед вновь и вновь (Xcobra) – Плохая архитектура и расширяемость – Не всегда красивые отчёты

  4. Что такое W3AF? • Программное окружение для аудита безопасности веб-

    приложений с возможностью эксплуатации найденных уязвимостей • Лицензия - GNU General Public License Version 2 • Текущая версия – 1.0 Release Candidate 1 • Уже достаточно большой международный проект со своим сообществом • Автор и основатель проекта - Andrés Riancho (Аргентина)

  5. Основные особенности • Написано на Python – интерпетируемом языке “с

    батарейками” • Кроссплатформенность • Несколько пользовательских интерфейсов – GUI с использованием GTK – Консольный с удобным автодополнением • Возможность расширения: 134 расширения и их число постоянно растёт • Поддержка веб-сервисов • Возможность эксплуатации найденных уязвимостей

  6. Основные особенности - 2 • Ищет уязвимости везде: GET/POST запросы,

    HTTP- заголовки, содержание файлов • “Умный” поиск уязвимостей: например, когда входные данные отображаются при определённых условиях • Интегрированы существующие инструмены и их аналоги: sqlmap, pykto

  7. Архитектура • w3af в общем состоит из 2 главных частей:

    ядро и расширения. • Ядро координирует процессы и предоставляет определённый функционал расширениям. • Расширения обмениваются информацией друг с другом через “хранилище знаний”. • По возможности используются шаблоны проектирования.

  8. Потоки информации Discovery Bruteforce Audit Attack Grep Output Evasion

  9. Расширения • discovery - поиск новых целей(например, URL) и создания

    т.н. изменяемых запросов. • audit - поиск в найденных целях уязвимостей. • grep - фильтруют каждый HTTP-запрос и ответ на предмет вхождения определённой информации • attack - эксплуатация найденных уязвимостей • output - расширения вывода информации (текстовый файл, консоль или HTML-файл). • mangle - вносят изменения в HTTP-запросы и ответы в соответствии с регулярными выражениями

  10. Расширения • evasion - изменяют HTTP-запросы для обхода систем обнаружения

    вторжений. • bruteforce - перебор имен пользователей.

  11. Все любят скриншоты и демо!

  12. W3AF GUI

  13. Получение удалённого доступа через SQL-инъекцию - демонстрация

  14. Ссылки • W3AF – http://w3af.sourceforge.net/ • Обзорный список сканнеров веб-уязвимостей

    - http://sectools.org/web-scanners.html • IBM Rational AppScan – http://www- 01.ibm.com/software/awdtools/appscan/ • Nikto – http://www.cirt.net/code/nikto.shtml • WebScarab - http://www.owasp.org/index.php/Category:OWASP_WebSc arab_Project • WebScarab – http://www.acunetix.com/ • XSpider - http://www.ptsecurity.com/

  15. Вопросы?