w3af 1.0 estable

Ayer día 25 de mayo salió a la luz la versión 1.0 de w3af, un interesante framework para auditoría y ataques en aplicaciones web que seguro muchos ya conocíais. Las características de la primera versión estable son las siguientes:

- Código base estable: mejoras que reducirán los crashes de w3af al mínimo. Han estado trabajando en la corrección de todos los bugs desde hace mucho tiempo, escrito miles de líneas y pruebas y varios tipos de automatización para asegurarse de que se pueda seguir mejorando sin romper otras secciones del código.

- Auto-Update: que permitirá mantener la instalación de las actualizaciones de w3af sin ningún esfuerzo.

- Payloads de aplicaciones web: para las personas que disfrutan de las técnicas de explotación, esta es una de las cosas más interesantes que podrán encontrar en la seguridad de aplicaciones web. Se han creado varias capas de abstracción en torno a una vulnerabilidad explotada con el fin de ser capaz de escribir payloads que usen llamadas al sistema emuladas para leer, escribir y ejecutar archivos en el servidor web comprometido. En su blog hay una entrada dedicada por completo a este tema.

- Analizador de código PHP estático: como parte de un par de experimentos y proyectos de investigación, Javier Andalia creó un analizador de código PHP estático que realiza análisis de código PHP con el fin de identificar SQL injections, OS Commanding y RFIs. Ya es posible utilizar esta característica tan interesante como un payload de aplicación web. Después de la explotar una vulnerabilidad hay que probar: "payload php_sca", que descargará el código PHP remoto para analizarlo y encontrar más vulnerabilidades.

Y muchas otras mejoras como:

- Refactorización del caché HTTP y del código GTK del interfaz de usuario para almacenar las peticiones HTTP sólo una vez en disco (5% de mejora del rendimiento).

- Mejora del rendimiento en la base de datos SQLite usando índices (1% de mejora del rendimiento).

- Enorme refactorización del código base en cuanto al manejo de URLs, trasladando el tratamiento anterior de strings a un modelo url_object, reduciendo el número de veces que una URL es parseada por los componentes (protocol, domain, path, query string, etc.) para acabar volviendo a poner de nuevo todo junto en una cadena, que aclara el código y lo hace correr más rápido.

En definitiva ya tienen una versión estable, pero todavía hay trabajo que hacer, con algunas características y capacidades que les gustaría añadir. Por ejemplo, mientras leéis esto, están trabajando en la integración del módulo de multiproceso en el código de w3af, con el objetivo de utilizar más de un núcleo de la CPU a la vez y mejorar sustancialmente la velocidad de exploración. También están trabajando en el manejo de codificaciones por el uso de cadenas Unicode a través de todo el framework y hacer que la experiencia de usuario sea más intuitiva, cambiando partes y piezas de la interfaz gráfica de usuario.

Por último os dejo también una serie de vídeos de demostración que podéis encontrar en su web:

Encontrando y explotando fallos de configuración en DAV.


Reportando un bug de w3af.


Generando peticiones desde el editor Fuzzy y creando un cluster.


Comparando peticiones usando la herramienta compare.


Generando una petición con el editor manual de peticiones.


Borrando un parámetro configurable a través del editor de plugins.


Usando el proxy MITM.


Usando spiderman para auditar sitios web con Javascript.


w3af funciona en windows!


actualización de w3af a la última versión desde windows.


Lanzando w3af contra wivet.


Comentarios