Lilith: Script feito em Perl para auditar aplicações web

Tags: , , , , , ,

No meio de minhas andanças pela Internet, eu acabei encontrando um script chamado Lilith, feito em perl e que tem como função analisar aplicações WEB em busca de uma cagada que algum desenvolvedor tenha deixado e que seja passível de exploração via SQL Injection, por exemplo.

Li na documentação do Lilith que ele possui dos módulos Perl como pré-requisitos:

– HTTP::Request
– LWP::UserAgent

Vejam algumas das features deste script:

  • got rid of many many false positives (that’s good)
  • when SQL error is found, it now goes onto next var
  • improved (i hope) scanning engine
  • (anti) coldfusion support
  • better cookie handling and cookie tampering
  • omitted perl HTML::Form limitation
  • better verbose output
  • extensive logging
  • detects directory indexing
  • recursive URL dissection
  • cleaned up this pasta code

A execução dele é bem simples e o seu download poderá ser feito a partir do seguinte link. Vejam o output na hora que eu rodo o script:

Dio:tools gustavolima$ ./lilith.pl
LiLith v0.6a : http forms scanner/injector
by michael@code.ae (http://michael.code.ae/)

usage: ./lilith.pl [options] <host>
with following options:
-d <dir>         : <dir> (or file) where to start [default: /]
-a <agent>       : agent to use (-a 0 for list) ["LiLith v0.6a"]
-u <user:pass>   : basic authentication credentials
-p <proxy>       : proxy server (proxy:port)
-U <user:pass>   : proxy authentication credentials
-T <delay>       : wait <delay> seconds between requests [0s]
-f <file>        : if defined, extensive logging is done to <file>
-c               : ignore cookies presented by <host>
-g               : try more poison, even when error is found
-s               : do not attempt to guess server version
-S               : do not strip host and directory from output
-I               : don't try to get directory listings
-i               : don't inject any poison
-A               : print all return codes (lots of data)
-v               : verbosity

Particularmente acredito que o Lilith seja mais uns daqueles scripts que você pode deixar no seu cinto de utilidades hacker.

VEJA TAMBÉM

Sorteio de duas bolsas de 30% para o curso CCNA – Service Provider: Criando Backbones MPLS na ... Pessoal, sortearei na próxima sexta-feira, dia 24/01/2014, às 18:00, duas bolsas para o curso CCNA - Service Provider: Criando BackBones MPLS, o qual será ministrado de forma presencial, aqui em SP, n...
Atualização do WordPress 3.9 com problemas Alguns leitores do blog perceberam que tivemos um problema - Invalid query: 1045: Access denied for user 'www-data'@'localhost' (using password: NO) Esse erro ocorreu após o upgrade do WordPress pa...
Livros da Packtpub saindo por US$ 5.00 É isso mesmo que vc leu. O https://www.packtpub.com/all acaba de liberar uma mega promoção em seu site, onde qualquer livro ou vídeo sairá por US$ 5.00. Acesso o site deles, escolha o livro e pague...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

2 comentários em “Lilith: Script feito em Perl para auditar aplicações web

DEIXAR UM COMENTÁRIO

MENU