W3af: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Gkosenkr (talk | contribs)
Gkosenkr (talk | contribs)
No edit summary
 
(13 intermediate revisions by the same user not shown)
Line 3: Line 3:
Rühm: AK31<br>
Rühm: AK31<br>
Viimati muudetud: 11.06.2015<br>
Viimati muudetud: 11.06.2015<br>
<br>


=Sissejuhatus=
=Sissejuhatus=
W3af on võrgurakenduste turvatestimise raamistik, mis aitab leida võrgurakendustes turvaauke ja ärakasutamiskohti ( exploite ). <br>
See on kirjutatud Pythoni keeles ja GPLv2.0-ga litsenseeritud. See projekt sai alguse 2006 aastal<ref>[http://w3af.org/project-history Projekti ajalugu]</ref>, ning on siiamaani arengus.
=Hoiatus=
Siin tutvustatavat tarkvara annab ära kasutada kurjasti. Enne kellegi teise võrgurakenduse testimist, küsi omanikult kindlasti luba.
=Eeldused=
Sellest artiklist saavad kasu inimesed, kes oskavad kasutada Unix-i laadseid opsüsteeme baastasemel, ning tahavad testida enda või mõne teise võrgurakenduse turvalisust.
Enne installeerimist peaks arvutis olema järgnevad tarkvarad:
* Git client: sudo apt-get install git
* Python 2.7, which is installed by default in most systems
* Pip version 1.1: sudo apt-get install python-pip
=Installeerimine=
Kõigepealt kopeeritakse W3af gitist. Siis proovitakse see käima panna. See genereerib /tmp/w3af_dependency_install.sh faili, kus on kirjas, mida veel on vaja installida, et tööle hakkaks.<ref>[http://docs.w3af.org/en/latest/install.html Installeerimine]</ref>
<pre>
git clone https://github.com/andresriancho/w3af.git
cd w3af/
./w3af_console
. /tmp/w3af_dependency_install.sh
</pre>




=Võimalused=
=Võimalused=
W3af saab oma võimsuse pluginatest, mida on hetkel juba üle 200.<ref>[http://w3af.org/plugins Pluginad]</ref>
Lisaks saab selle abil ise koostada HTTP päringuid kasutades järgnevaid meetodeid:<ref>[http://w3af.org/features Features]</ref>
* Proxy tugi
* HTTP Basic autentimine
* UserAgent-i võltsimine
* Päringutele võltspäiste lisamine
* Cookiede manipuleerimine
* jne...
W3af oskab muuta pea igat HTTP päringu osa:
* Query string
* POST-data
* Päised
* Cookie väärtused
* URL failinimi
* URL path
Tähtis osa on ka väljundi väljastamine. W3af oskab kirjutada otse konsoolile, salvestada teksti-, CSV, XML ja HTML faile ja neid ka üle E-maili ära saata.
=Kasutamine=
Et programmi kasutada tuleb jooksutada käsk
<pre>./w3af_console</pre>
Abi saamiseks saab igal pool kasutada help käsku. Pane tähele, et käsud on tõusutundlikud.
Lisaks võib veel kasutada graafilist liidest. <ref>[http://docs.w3af.org/en/latest/gui/index.html GUI]</ref>
Selle kasutamiseks jooksuta käsku:
<pre>./w3af_gui</pre>
Et see käivituks on vaja eelnevalt installeerida lisapakke, mille nimekirja saab eelmist käsku jooksutades.


=Kokkuvõte=
=Kokkuvõte=
 
Kokkuvõtteks võin öelda, et w3af tundub olevat väga võimas tööriist, mida õigesti kasutades on võimalik väga kergesti leida rakendustest ja lehtedelt turvaauke. Õigetes kätes on see kasulik, sest siis saab avastatud nõrgad kohad ära lappida. Valedes kätes aga päris ohtlik, sest seda annab ära kasutada kujadeks eesmärkideks. Näiteks skännida teiste inimeste lehti ja sealt saadud infot kuritarvitada. Kasutamine tundub olevat lihtne ja intuitiivne, kui sellele natuke aega pühendada.
=Kasutatud material=
=Kasutatud material=
Selle artikli valmimisel on kasutatud järgnevaid allikaid :<br>
Selle artikli valmimisel on kasutatud järgnevaid allikaid :<br>
<references/>

Latest revision as of 22:26, 11 June 2015

Koostaja

Gert Kosenkranius
Rühm: AK31
Viimati muudetud: 11.06.2015

Sissejuhatus

W3af on võrgurakenduste turvatestimise raamistik, mis aitab leida võrgurakendustes turvaauke ja ärakasutamiskohti ( exploite ).
See on kirjutatud Pythoni keeles ja GPLv2.0-ga litsenseeritud. See projekt sai alguse 2006 aastal[1], ning on siiamaani arengus.

Hoiatus

Siin tutvustatavat tarkvara annab ära kasutada kurjasti. Enne kellegi teise võrgurakenduse testimist, küsi omanikult kindlasti luba.

Eeldused

Sellest artiklist saavad kasu inimesed, kes oskavad kasutada Unix-i laadseid opsüsteeme baastasemel, ning tahavad testida enda või mõne teise võrgurakenduse turvalisust. Enne installeerimist peaks arvutis olema järgnevad tarkvarad:

  • Git client: sudo apt-get install git
  • Python 2.7, which is installed by default in most systems
  • Pip version 1.1: sudo apt-get install python-pip

Installeerimine

Kõigepealt kopeeritakse W3af gitist. Siis proovitakse see käima panna. See genereerib /tmp/w3af_dependency_install.sh faili, kus on kirjas, mida veel on vaja installida, et tööle hakkaks.[2]

git clone https://github.com/andresriancho/w3af.git
cd w3af/
./w3af_console
. /tmp/w3af_dependency_install.sh


Võimalused

W3af saab oma võimsuse pluginatest, mida on hetkel juba üle 200.[3] Lisaks saab selle abil ise koostada HTTP päringuid kasutades järgnevaid meetodeid:[4]

  • Proxy tugi
  • HTTP Basic autentimine
  • UserAgent-i võltsimine
  • Päringutele võltspäiste lisamine
  • Cookiede manipuleerimine
  • jne...

W3af oskab muuta pea igat HTTP päringu osa:

  • Query string
  • POST-data
  • Päised
  • Cookie väärtused
  • URL failinimi
  • URL path

Tähtis osa on ka väljundi väljastamine. W3af oskab kirjutada otse konsoolile, salvestada teksti-, CSV, XML ja HTML faile ja neid ka üle E-maili ära saata.

Kasutamine

Et programmi kasutada tuleb jooksutada käsk

./w3af_console

Abi saamiseks saab igal pool kasutada help käsku. Pane tähele, et käsud on tõusutundlikud. Lisaks võib veel kasutada graafilist liidest. [5] Selle kasutamiseks jooksuta käsku:

./w3af_gui

Et see käivituks on vaja eelnevalt installeerida lisapakke, mille nimekirja saab eelmist käsku jooksutades.

Kokkuvõte

Kokkuvõtteks võin öelda, et w3af tundub olevat väga võimas tööriist, mida õigesti kasutades on võimalik väga kergesti leida rakendustest ja lehtedelt turvaauke. Õigetes kätes on see kasulik, sest siis saab avastatud nõrgad kohad ära lappida. Valedes kätes aga päris ohtlik, sest seda annab ära kasutada kujadeks eesmärkideks. Näiteks skännida teiste inimeste lehti ja sealt saadud infot kuritarvitada. Kasutamine tundub olevat lihtne ja intuitiivne, kui sellele natuke aega pühendada.

Kasutatud material

Selle artikli valmimisel on kasutatud järgnevaid allikaid :