Estou cansado de participar de projetos WEB onde o desenvolvedor tem a mania de afirmar que a sua linda aplicação está pronta para o uso depois de realizar todos os testes funcionais e de carga. Os desenvolvedores, na maioria das vezes, esquecem de realizar testes de segurança.

Há uma série de ferramentas freeware, consultorias e os mais diversos tipos de distribuições e produtos que poderão lhe auxiliar nestes testes. Há poucos dias, eu comecei a testar o Wfuzz, uma ferramenta opensource desenvolvida para realizar bruteforcing em aplicações Web – Ele executa uma série de ataques utilizando as mais conhecidas técnicas, como SQL Injection, XSS entre outras.

Vejam um lista das funcionalidades do Wfuzz:

  • Multiple Injection points capability with multiple dictionaries
  • Recursion (When doing directory bruteforce)
  • Post, headers and authentication data brute forcing
  • Output to HTML
  • Colored output
  • Hide results by return code, word numbers, line numbers, regex.
  • Cookies fuzzing
  • Multi threading
  • Proxy support
  • SOCK support
  • Time delays between requests
  • Authentication support (NTLM, Basic)
  • All parameters bruteforcing (POST and GET)
  • Dictionaries tailored for known applications (Weblogic, Iplanet, Tomcat, Domino, Oracle 9i, Vignette, Coldfusion and many more. (Many dictionaries are from Darkraver’s Dirb, www.open-labs.org)
  • Payloads:
    • File
    • List
    • hexrand
    • range
    • names
    • hexrange
  • Encodings:
    • random_uppercase
    • urlencode
    • binary_ascii
    • base64
    • double_nibble_hex
    • uri_hex
    • sha1
    • md5
    • double_urlencode
    • utf8
    • utf8_binary
    • html
    • html decimal
    • custom
    • many more…
  • Iterators:
    • Product
    • Zip
    • Chain

Abaixo segue algumas telas que demonstram o seu funcionamento básico:

Compartilhar:

Este post tem 2 comentários

  1. Tem como rodar em Windows 7 ou só linux ? =/

  2. Gustavo, eu posso usar essa ferramenta para testes em servidores FTP?
    Se não, conhece alguma ferramenta semelhante?
    Valeu!

Deixe uma resposta

Fechar Menu