W3af - Auditer un site Web

W3af (Web Application Attack and Audit Framework) est un framework écrit en Python qui est spécialement conçu pour auditer des applications Web pour découvrir et exploiter les vulnérabilités. Il est multiplateforme et disponible en GUI et en ligne de commande

Selon l'auteur de l'application, Andres Riancho, il souhaite que w3af devienne le nmap du web, c'est-à-dire l’outil complètement indispensable.

 

W3af possède plus de 130 plugins pour identifier les vulnérabilités, comme les injections SQL et les failles XSS, et ensuite les exploiter pour avoir différents types d'accès au système distant.

Les plugins sont classés dans les catégories suivantes :

Les plugins audit (audit) trouvent les vulnérabilités.

Les plugins bruteforce (bruteforce)vont réaliser des attaques par force brute contre les identifications.

 

Les plugins de découverte (discovery) trouvent les points d'injection.

les plugins evasion (evasion)tentent d'éviter la détection de l'intrusion.

Les plugins grep (grep)analysent tout le contenu des pages et trouvent les
vulnérabilités sur les pages interrogées par d'autres plugins.

Les plugins mangle (mangle)permettent de modifier les requêtes et réponses.

Une interface simple et ergonomique

Lors d'un exploit réussi, w3af offre à l'utilisateur des possibilités intéressantes comme un shell, un dump des tables SQL, upload de fichiers, et beaucoup plus.

L'exploitation d'une injection SQL via sqlmap

En Juillet 2010, Rapid7 (Metasploit) annonce son partenariat avec w3af. 

La seule chose qu'il ne fait pas par lui même, c'est de nous donner directement les solutions pour combler les failles. A nous de bosser pour ça ;)

www.w3af.sourceforge.net