wfuzz: Testando a sua aplicação Web

Tags: , , , ,

Estou cansado de participar de projetos WEB onde o desenvolvedor tem a mania de afirmar que a sua linda aplicação está pronta para o uso depois de realizar todos os testes funcionais e de carga. Os desenvolvedores, na maioria das vezes, esquecem de realizar testes de segurança.

Há uma série de ferramentas freeware, consultorias e os mais diversos tipos de distribuições e produtos que poderão lhe auxiliar nestes testes. Há poucos dias, eu comecei a testar o Wfuzz, uma ferramenta opensource desenvolvida para realizar bruteforcing em aplicações Web – Ele executa uma série de ataques utilizando as mais conhecidas técnicas, como SQL Injection, XSS entre outras.

Vejam um lista das funcionalidades do Wfuzz:

  • Multiple Injection points capability with multiple dictionaries
  • Recursion (When doing directory bruteforce)
  • Post, headers and authentication data brute forcing
  • Output to HTML
  • Colored output
  • Hide results by return code, word numbers, line numbers, regex.
  • Cookies fuzzing
  • Multi threading
  • Proxy support
  • SOCK support
  • Time delays between requests
  • Authentication support (NTLM, Basic)
  • All parameters bruteforcing (POST and GET)
  • Dictionaries tailored for known applications (Weblogic, Iplanet, Tomcat, Domino, Oracle 9i, Vignette, Coldfusion and many more. (Many dictionaries are from Darkraver’s Dirb, www.open-labs.org)
  • Payloads:
    • File
    • List
    • hexrand
    • range
    • names
    • hexrange
  • Encodings:
    • random_uppercase
    • urlencode
    • binary_ascii
    • base64
    • double_nibble_hex
    • uri_hex
    • sha1
    • md5
    • double_urlencode
    • utf8
    • utf8_binary
    • html
    • html decimal
    • custom
    • many more…
  • Iterators:
    • Product
    • Zip
    • Chain

Abaixo segue algumas telas que demonstram o seu funcionamento básico:

VEJA TAMBÉM

SEC 580 Metasploit Kung Fu for Enterprise Pen Testing – Apostila O Curso Sec580 Metasploit Kung Fu for Enterprise Pen Testing é um curso que tem como objetivo a especialização dos pentesters ao utilizar o Metasploit, framework de segurança mais utilizado no mundo -...
Websecurify – Ferramenta para análise de segurança do mundo Web e Web 2.0 Navegando pela imensidão digital, acabei encontrando uma interessante ferramenta de análise de segurança para o mundo Web e Web 2.0, é o Websecurify. Ele possui a capacidade de encontrar vulnerabilida...
Pentestit – alguém conhece algum substituto ? Pentest it ou tudo junto mesmo, era, em minha opinião, o melhor site de indicação de ferramentas focadas em segurança da informação. O site era atualizado diariamente com muita coisa legal. Acontec...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

2 comentários em “wfuzz: Testando a sua aplicação Web

  1. Gerardo Donatiello

    Gustavo, eu posso usar essa ferramenta para testes em servidores FTP?
    Se não, conhece alguma ferramenta semelhante?
    Valeu!

DEIXAR UM COMENTÁRIO

MENU