pWeb-suite – Suíte baseada em Perl para testes em aplicações Web

Tags: , , , , , , , , , , , , ,

Saiu a nova versão do pWeb-suite, uma suíte desenvolvida em perl para realização de testes em aplicações Web. Este carinha facilita e muito a vida de quem quer rodar um teste rápido naquele site ou aplicação Web, mas esqueceu ou está com algum problema no seu cinto de utilidades, o backtrack.

Abaixo vocês poderão conferir a lista de funcionalidades que o pWeb-suite possui:

Vulnerability Scanning:
LFI / RFI
– H3lLFiRE –  LFI Automation Tool
– L0gInject0r – Code Injection To0l for Web Server Logs (LFI Attack)

SQLI

– SmSI (SimplyMySQLi) – Simple Mysql Inj3ctor

Xss
– StrEncode – Xss String Encoding T0ol

Mathematics / Hashes / Passwords:
Fibonacci
Primes
Online Resources:
– md5online
– HavijMD5BF
– pBinCracker
– Ripemd160Online
– SHA1Online
– SHA256Online
– EtsyShadow

Reconnaissance:
– FileScope – Server Files Recon Tool

Wordlist Utilities:
– RePsychoLoop

Seria exagero meu dizer que há tantas ferramentas que automatizaram o processo de pentest para aplicações Web que qualquer um pode entregar um relatório informando se aquele site ou aplicação está vulnerável ou não ?

VEJA TAMBÉM

O que acontece quando uma empresa que vende certificados digitais é invadida? A Comodo, uma das empresas que tenta quebrar a hegemonia da Versign, sofreu mais um duro golpe neste ano. A subsidiária da Comodo no Brasil, ComodoBR, sofreu uma ataque que explorou uma vulnerabilidad...
Ksar: gerando gráficos a partir dos arquivos gerados pelo sar Analisar os dados do Sar utilizando uma planilha excel é uma das coisas mais chatas de se fazer quando trabalhamos com performance. Eis que lhes apresento o Ksar, uma ferramenta desenvolvida em jav...
Introduction to Network Security: Theory and Practice 2nd Edition Introduction to Network Security: Theory and Practice 2nd Edition é recomendado para aqueles que estão começando na área. De prático o livro possui pouca coisa que valha a pena ser mencionada e que re...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

14 comentários em “pWeb-suite – Suíte baseada em Perl para testes em aplicações Web

  1. Gustavo Lima

    O problema que não é isso que os relatórios finais de pentest têm apresentado aos seus clientes. Não há uma padronização e nem um pingo de qualidade no que é feito e entregue.

    BTW, se vc for mesmo quem está falado, sabe de de qual emprese e de quem estamos falando..

  2. Edson Pereira Jr

    Eu imagino quem seja o Breno , mas tbm acredito que pentest seja != de vulnerability assessement.

  3. Rodrigo Montoro (Sp0oKeR)

    O problema do pentest, VA ou qualquer serviço de segurança é algo que o Rubira salientou muito bem na apresentação dele: “Enquanto o vendedor da empresa que vende souber mais que a empresa que compra o mercado sempre comprara coisas erradas”.

    O problema é quem compra não quem vende, empresas precisam aprender a comprar e diferenciar serviços de qualidade e ruins. Infelizmente isso leva tempo para amadurecer e algumas empresas nunca amadurecem.

  4. firebitbs

    Outro aspecto também relevante, é que é fácil, apontar e fazer pentest e VA, com mais focal em ataques, em detrimento à corrigir, solucionar ou mitigar os problemas (defesa).

    Sempre será mais fácil atacar do que defender:)

    Apesar de amabas a técnicas de maneira profissional, serem difíceis, a defesa sempre será mais dificil.

    @firebitsbr

  5. Breno

    Gustavo,

    Bom vamos lá. Eu concordo com o Rodrigo, de fato se quem está comprando não sabe diferenciar uma coisa da outra. Ai merece receber esses relatórios que você mesmo disse.

    Quanto ao seu comentário deixa eu explicar melhor:

    “Seria exagero meu dizer que há tantas ferramentas que automatizaram o processo de pentest para aplicações Web que qualquer um pode entregar um relatório informando se aquele site ou aplicação está vulnerável ou não ?”

    Vamos por partes 🙂

    ” Seria exagero meu dizer que há tantas ferramentas que automatizaram o processo de pentest ”

    Não se automatiza um processo de pentest.

    ” que qualquer um pode entregar um relatório informando se aquele site ou aplicação está vulnerável ou não ?”

    Saber se seu site está vulnerável ou não, pode e deve ser feito com um vulnerability assessment.
    Agora é minha opinião… pagar um serviço realmente de pentest com esse objetivo (saber simplesmente se um site está vulneravel ou não) seria jogar dinheiro no ralo, já que esse tipo de trabalho é escalável, não requer um grande skill e com um mínimo de recurso interno em uma área de segurança dá para fazer até mesmo in-house. O objetivo para se contratar um pentest precisa ser mais nobre.

    abs

  6. Gustavo Lima

    Breno, agora concordo com vc, mas não podemos nos esquecer que não são todas as empresas que possuem profissionais/colabores capazes de julgarem empresas e serviços prestados quanto a pentests. E infelizmente, muitas empresas de segurança se aproveitam disso.

  7. firebits

    Inclusive tudo é automatizado na maioria dos casos e que não tem “high skill”, (nem falo, por mim, que me considero um iniciante ainda…) para analisar o que é “falso positivo”, o que dirá em dizer o que “falso negativo”, no(s) ambiente(s).

    É o que eu sempre eu digo, seu um scanner em vulnerabilidades tem 34k de plugins de ataque para testar um host e ainda sim quiser “fazer na mão” os testes, consegue sem ferramenta alguma testar? (talvez scripts, não vale…rss)

    Agora pensa em um parque de TI com 1000 servers…

    1000 servers x 34k = ? muitas análises para analisar na mão..

    Mas e quando a ferramenta não pega a vulnerabilidade? Ai entra tambem “hands-on”.

    Acho que deve ter double checking, na jogadinha “auto x hands on” e se puder colocar até mais de uma tool, tipo Qualys, Nessus e outras…

  8. Dony - heappie0verflow

    Acho que depende, o uso de ferramentas é válido, afinal o nome já diz a função, mas o grande diferencial está no conhecimento em encontrar, garimpar as falhas mesmo sem ferramentas automatizadas que os profissionais de uma empresa de segurança da informação tenham e isso é bem raro, porque se leva muitos anos de estudo e prática pra se ter um skill desses, em segurança você precisa manjar muito de muito, como sempre explico pra algumas pessoas, como você vai conseguir verificar falhas e proteger um servidor Linux, se você não manja profundamente de Linux, ou um servidor IIS, se você não manja muito de IIS (conhecimento profundo eu digo! não instalação e conf básica) e assim com apache e assim com qualquer S.O., sistema, sem contar redes em profundidade, código, assembly, centenas de protocolos… vixi o barato é louco como diriam por ai…rs

    Algumas pessoas não entendem que segurança (nível avançado e profissional) é uma especialização, tem que ter ralado muito antes, comido muito livro, rfc, manuais, muita estrada de práticas, muita dedicação horas a fio… tem que ter muita paixão… por isso reforço o que o Mauro disse, me considero um iniciante, vendo o que ainda se tem pra conhecer e dominar na área de segurança.

    Ouvimos falar de hackings e hackers épicos nos anos 70 e 80, só que era menos coisa pra alguém ter esse skill, hoje é coisa demais pra estudar cara!!! na área de Sec. Eu não consigo absorver tudo que tenho e tudo o que reuno de conteúdo e material, livros, videos, apostilas, audiobooks, cursos, etc. e falo só de sec, sem contar outras coisas que se tem que estudar como pré-requisito.

    Por outro lado existe a facilidade em tudo, ferramentas “point and click” estão por toda a parte, VA com vários testes acessível a qualquer um e por ai vai.

    Acho que tudo é válido na busca das falhas, mas só o tempo, ,estudo,prática e a experiência forjam um bom profissional (dedicado) capaz de enxergar coisas que uma máquina automatizada não enxerga.

    Uma vez eu vi ditado, que sempre guardo que dizia algo assim: Fazendo um passeio e subindo uma montanha de teleférico ou a pé você chega lá, mas a visão e riqueza dos detalhes na experiência que se tem subindo a pé é intrinsicamente mais profunda e irá marca-lo e lhe trazer uma visão única sobre aquele passeio que quem sobe de teleférico não terá jamais”

    É fácil ver isso, quem é da oldschool de segurança ou informática, pode entender o que eu digo, pois antes pra se fazer um ataque que se faz com um armitage em alguns cliques, o cara que tinha que fazer tudo, sem ferramentas, na base do conhecimento, criando as suas próprias ferramentas ou scripts ‘ na unha” e entender muito bem o que se está atacando e isso lhe trás um nível de conhecimento, dominio e bagagem únicas.

DEIXAR UM COMENTÁRIO

MENU