SpamLoco

  • Noticias
  • Seguridad
  • Arduino
  • Videos
  • Foro

w3af, herramienta para detectar vulnerabilidades web

w3af (Web Application Attack and Audit Framework) es una herramienta open source de auditoría que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso.

Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos.

w3af detecta vulnerabilidades web

Si deseas entender un poco más el alcance de este tipo de herramientas te recomiendo leer este artículo de Infosec Resources (en inglés), se muestra a modo de ejemplo como una vulnerabilidad sql injection detectada con w3af, permite obtener las contraseñas de un blog en WordPress.

Por supuesto, w3af no busca ser un programa de haking malintencionado, si bien parece que con unos simples clics se puede hacer de todo, es necesario tener ciertos conocimientos y ganas de entender lo que sucede para poder sacarle provecho.

El proyecto nació en el año 2006 de la mano de Andrés Riancho, fundador de la empresa de seguridad Bonsai, y hoy cuenta con el apoyo de toda la comunidad de especialistas en seguridad web.

Descarga: w3af.sourceforge.net/#download

Se puede instalar en Windows (ver demo de instalación) y Linux (apt-get install w3af), si tienes Backtrack puedes ejecutar la interfaz gráfica desde /pentest/web/w3af ./w3af_gui

Si se van a poner a jugar con ella, les recomiendo hacerlo en un entorno controlado, es la mejor forma de testearla, experimentar y aprender :)

Ver también:
Scanner de vulnerabilidades en WordPress y ataque por fuerza bruta.
SP Toolkit, un kit de phishing para educar a los usuarios con ataques reales.


1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (¿Te ha servido el artículo?)
Comparte en FacebookComparte en Twitter
Publicado por Alejandro Eguía el 30 abril, 2012
Actualizado el 16 febrero, 2019 Archivado en: Seguridad


Comentar con Facebook


  1. Tatuajes

    Solo digo una cosa, me han atacado dos webs por tener algun tipo de vulnerabilidad en mi wordpress, me han jodido la web el host y el WordPress.

    Web hackeada: [editado] en fin.. en vez de dejar trabajar hay gente que se dedica a tocar los cojones… Así va el mundo!

    David:@

    Responder
    • javier

      A ver si entendi.. estas indignado por la existencia y/o difusión de este tipo de herramientas? Supongo que también estarás indignado con la utilización de cuchillos en los programas de cocina, al fin y al cabo, se pueden utilizar para cometer asesinatos.
      En fin, teniendo WordPress y sus plugins actualizados, es mucho menos probable que tu site termine siendo objetivo de un ataque.

      Responder

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Buscador

Suscripción al blog

Feed

Recibe los nuevos artículos del blog en tu correo suscribiéndote gratis:

Redes Sociales

facebook twitter spamloco-youtube google-plus-spamloco

Sobre SpamLoco

Este es un blog dedicado al mundo de la tecnología, internet y la seguridad informática. No te confundas con el nombre, sólo es un juego de palabras, no tiene nada que ver como el ''spam'' sino todo lo contrario.

Si necesitas ayuda puedes pasar por el Foro o contactarme.

Subir

Copyright © 2006 - 2018 SpamLoco.net | Términos del sitio | Cambiar opciones de privacidad | RSS | Contacto