wfuzz: Testando a sua aplicação Web

Tags: , , , ,

Estou cansado de participar de projetos WEB onde o desenvolvedor tem a mania de afirmar que a sua linda aplicação está pronta para o uso depois de realizar todos os testes funcionais e de carga. Os desenvolvedores, na maioria das vezes, esquecem de realizar testes de segurança.

Há uma série de ferramentas freeware, consultorias e os mais diversos tipos de distribuições e produtos que poderão lhe auxiliar nestes testes. Há poucos dias, eu comecei a testar o Wfuzz, uma ferramenta opensource desenvolvida para realizar bruteforcing em aplicações Web – Ele executa uma série de ataques utilizando as mais conhecidas técnicas, como SQL Injection, XSS entre outras.

Vejam um lista das funcionalidades do Wfuzz:

  • Multiple Injection points capability with multiple dictionaries
  • Recursion (When doing directory bruteforce)
  • Post, headers and authentication data brute forcing
  • Output to HTML
  • Colored output
  • Hide results by return code, word numbers, line numbers, regex.
  • Cookies fuzzing
  • Multi threading
  • Proxy support
  • SOCK support
  • Time delays between requests
  • Authentication support (NTLM, Basic)
  • All parameters bruteforcing (POST and GET)
  • Dictionaries tailored for known applications (Weblogic, Iplanet, Tomcat, Domino, Oracle 9i, Vignette, Coldfusion and many more. (Many dictionaries are from Darkraver’s Dirb, www.open-labs.org)
  • Payloads:
    • File
    • List
    • hexrand
    • range
    • names
    • hexrange
  • Encodings:
    • random_uppercase
    • urlencode
    • binary_ascii
    • base64
    • double_nibble_hex
    • uri_hex
    • sha1
    • md5
    • double_urlencode
    • utf8
    • utf8_binary
    • html
    • html decimal
    • custom
    • many more…
  • Iterators:
    • Product
    • Zip
    • Chain

Abaixo segue algumas telas que demonstram o seu funcionamento básico:

VEJA TAMBÉM

eSecurity – curso de backtrack EAD A eSecurity está oferecendo curso das principais ferramentas do Sistema Operacional BackTrack 5 online e ao vivo à partir de R$ 250,00 parcelados de 10x. Você poderá estudar a melhor distribuição par...
Livro Testes de Invasão apresenta as habilidades e técnicas necessárias a todo pentester Analistas de segurança, auditores de sistemas, profissionais de TI, hackers éticos, estudantes de segurança de computadores e interessados na área de segurança têm agora um material extenso e completo...
Greves em TI sendo organizadas pelo SindPD, mas em ?! Minha opinião pessoal quanto as "carreatas e comícios" em frente das maiores empresas de tecnologia da informação de SP que estão sendo organizadas pelo Sindpd é: O nosso mercado é regido pela lei ...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

2 comentários em “wfuzz: Testando a sua aplicação Web

  1. Gerardo Donatiello

    Gustavo, eu posso usar essa ferramenta para testes em servidores FTP?
    Se não, conhece alguma ferramenta semelhante?
    Valeu!

DEIXAR UM COMENTÁRIO

MENU