Работа с W3af в Kali Linux

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

hack-anonim

Пользователь

hack-anonim

Пользователь
24 Окт 2015
572
316
Введение

W3af (Web Application Attack and Audit Framework) — это open-source сканер веб-уязвимостей.

Этот сканер имеет как графический интерфейс, так и возможность работы из-под консоли. В общем, это фреймворк с большим количеством различных плагинов.

В данной статье будет описано как осуществить проверку веб-приложения на уязвимости XSS, CSRF и Sqli работая в w3af из под консоли.

Как пользоваться W3af

Для запуска W3af в консольном виде надо открыть терминал и напечатать:

Код:
w3af_console

Для того чтобы посмотреть список всех опций напишем:

HTML:
|-----------------------------------------------------------------------------|

| start         | Запустить сканирование.                                     |
| plugins       | Включение и настройка плагинов.                             |
| exploit       | Эксплуатировать уязвимость.                                 |
| profiles      | Показать список и использовать профайлы сканирования.       |
| cleanup       | Очистить перед началом нового сканирования.                 |
|-----------------------------------------------------------------------------|
| help          | Показать помощь. Наберите: help [команда] , чтобы увидеть   |
|               | больше помощи по конкретной "команде"                       |
| version       | Показать информацию о версии w3af.                          |
| keys          | Показать сочетания клавиш.                                  |
|-----------------------------------------------------------------------------|
| http-settings | Задать HTTP настройки фреймворка.                           |
| misc-settings | Изменить остальные настройки w3af.                          |
| target        | Настроить целевой URL.                                      |
|-----------------------------------------------------------------------------|
| back          | Вернуться в предыдущее меню.                                |
| exit          | Выход из w3af.                                              |
|-----------------------------------------------------------------------------|
| kb            | Просмотреть уязвимости, доступные в Базе Знаний.            |
|-----------------------------------------------------------------------------|

Прежде всего надо сказать как настроить w3af для работы.

Для выбора опции достаточно напечатать ее название, для того чтобы вернуться к предыдущему уровню следует напечатать "back".

Если напечатать команду "view" то на экран будет выведен список настраиваемых параметров выбранной опции.

Теперь рассмотрим опцию "target". В ней задается URL для проводимой проверки.

Настройка опций:

Код:
w3af>>> target

w3af/config:target>>> help

Для данной опции доступны следующие параметры:


HTML:
|-----------------------------------------------------------------------------|

| view   | Список доступных опций и их значения.                              |
| set    | Установить значение параметра.                                     |
| save   | Сохранить новую конфигурацию.                                      |
|-----------------------------------------------------------------------------|
| back   | Вернуться в предыдущее меню.                                       |
| exit   | Выйти из w3af.                                                     |
|-----------------------------------------------------------------------------|

Установим URL для проверки:

Код:
w3af/config:target>>> set target http://localhost

w3af/config:target>>> view

Для дальнейшей работы необходимо настроить плагины.


Код:
w3af/config:target>>> back

w3af>>> plugins
w3af/plugins>>> help

HTML:
|---------------------------------------------------------------------------------------------------|

| list                  | Список доступных плагинов.                                                |
|---------------------------------------------------------------------------------------------------|
| back                  | Перейти к предыдущему меню.                                               |
| exit                  | Выйти из w3af.                                                            |
|---------------------------------------------------------------------------------------------------|
| grep                  | Просмотр, настройка и включение плагинов grep                             |
| audit                 | Просмотр, настройка и включение плагинов аудита                           |
| evasion               | Просмотр, настройка и включение плагинов уклонения                        |
| crawl                 | Просмотр, настройка и включение плагинов обхода контента                  |
| auth                  | Просмотр, настройка и включение плагинов аутентификации                   |
| mangle                | Просмотр, настройка и включение плагинов искажения                        |
| output                | Просмотр, настройка и включение плагинов вывода                           |
| bruteforce            | Просмотр, настройка и включение плагинов брутфорса                        |
| infrastructure        | Просмотр, настройка и включение плагинов инфраструктуры                   |
|---------------------------------------------------------------------------------------------------|
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя