Review: w3af

Seba Bortnik —  1 octubre 2008 — 12 comentarios

En la previa de la Ekoparty 2008, nada mejor que cumplir con otra review que tenía pendiente. En este caso se trata de una aplicación: w3af.

w3af es el proyecto de un muchacho argentino, llamado Andrés Riancho. Llegué a la aplicación ya que la empresa donde trabajo, Openware, es uno de los sponsors del proyecto.

Para resumir de qué se trata w3af, tomo la información del sitio oficial: “w3af es un framework de ataque Web y Auditoría. El objetivo del proyecto es crear un framework para buscar y explotar las vulnerabilidades de aplicaciones Web que sea fácil de utilizar y ampliar“.

Aunque hace rato que sigo los pasos de la aplicación a través de una de sus listas de correo, me tomé unos días para probarla. En mi caso, lo hice en el siguiente contexto: utilicé Ubuntu 8.04 (aunque la aplicación actualmente está también disponible para Windows) y también recuerden que el hacking no es mi especialidad.

Antes de seguir con cualquier dato “irrelevante”, quiero destacar que el proyecto está distribuído con una licencia Open Source, bajo Licencia GNU General Version 2. En este momento, la aplicación está por su versión beta7, y avanzando, tanto en prestaciones como cantidad de usuarios, a pasos muy rápidos y firmes.

En sí la aplicación tiene una instalación muy simple. En Linux simplemente descomprimiendo el archivo que descargamos ya podemos utilizar la aplicación. En Windows, mi compañero de trabajo Ulises, hizo el instalador para Windows que es súper sencillo de instalar.

Para hacer uso de la aplicación, es posible hacerlo a través de una consola o a través de su interfaz gráfica (GUI).

En primer lugar, hice uso de la consola, utilizando el manual de usuario disponible en el sitio web. Respecto a la consola, me gustó la forma en que está pensada la ejecución, en donde uno va colocando comandos y en función de eso va escalando a diferentes secciones para configurar los diferentes parámetros. La interfaz gráfica es aún mejor, además de lo amena, es extremadamente simple de utilizar. Podemos ver desde la interfaz las cuatro pestañas respecto al uso de la aplicación: configuración, log, resultados y exploit. Basicamente estas pestañas describen también el proceso de un ataque-auditoria a una aplicación web.

¿Cómo funciona la aplicación? Bueno, básicamente utiliza, al estilo Nessus, diferentes plugins que uno puede configurar según cuales quiere utilizar. Nuevos plugins aparecen periódicamente. Estos están agrupados en categorías:

  • Discovery: se utilizan, por ejemplo, para descubrir nuevas URLs válidas en el sitio.
  • Evasión: son utilizados para tratar de evadir los IDS.
  • Auditoria: se utilizan para auditar la seguridad de la aplicación web.
  • Grep: son utilizados para analizar cada respuesta que devuelve el servidor.
  • Output: se utilizan para escribir la salida de otros plugins en un formato cómodo para el framework.

Basicamente, el proceso es el descripto anteriormente. Primero, el usuario selecciona el “combo” de plugins que va a ejecutar, selecciona la “víctima” (el sitio web a escanear) y decide comenzar el “ataque”. Posteriormente, se pueden visualizar los logs mientras se realiza el ataque. Finalmente, es posible visualizar los resultados obtenidos por el escaneo, y conocer las vulnerabilidades que tiene la aplicación y los exploits que pueden explotarlas.

Además, con la última versión, el usuario tiene paquetes pre-armados de plugins para, por ejemplo, probar el OWASP TOP 10, y testear las vulnerabilidades más comunes en sitios web.

Como punto bajo creo que aún falta mejorar la documentación disponible, cosa que permitirá también acercar más usuarios para que prueben el software.

Me resulta interesante los por qué’s de hacer el proyecto, explicados en el sitio web por Andrés:

  • Quiero devolver algo a la comunidad Open Source.
  • Soy perezoso y este software permitirá automatizar mi trabajo en test de penetración.
  • Quería tener un proyecto GPL, para aprender sobre él.
  • Quiero aprender Python

Como conclusión, me parece que w3af cubre un nicho de mercado cada vez más importante (vulnerabilidades en aplicaciones web) y, encima, lo hace a través de un proyecto colaborativo y Open Source. El proyecto quizás no esté 100% preparado pero, como dije al principio, el crecimiento y las mejoras son muy rápidas y periódicamente aparecen versiones más estables, más completas y con más funcionalidades.

RESUMEN

Aplicación: w3af

Autor: Andres Riancho + comunidad

Costo: Free

Lo mejor: software libre, excelente diseño y funcionalidad, pretende ocupar un espacio que aún está vacante (un framework para auditorias de aplicaciones web).

Lo peor: pocos idiomas, aún está en versión “beta”, falta de documentación.

Sitio web: http://w3af.sourceforge.net/

Puntaje: ¿se olvidaron que no pongo puntajes? Prefiero no acotar el resultado y expresar todo, lo bueno y lo malo y, fundamentalmente, la subjetividad del texto y la opinión, para que cada uno lo pruebe luego y ponga su propio puntaje.

Lamentablemente, cuando Andrés vino a visitarnos a Openware, y a contarnos del proyecto, yo estaba de visita en Bahía Blanca con mi familia y aún no lo conozco personalmente. De todas formas, mis felicitaciones a Andrés por encarar semejante proyecto, hacerlo en la comunidad del software libre, y ponerle tanto esfuerzo para que siga creciendo y mejorando.

Desde ya, invito a los lectores que tengan espacios en la web a difundir el proyecto y, ni hablar, a aquellos que sean programadores a colaborar en él. 😉

Anuncios

12 comentarios para Review: w3af

  1. 

    Very good info. Lucky me I came across your blog by chance (stumbleupon).
    I have book-marked it for later!

  2. 

    Select thoroughly the one that suits your web site and also your goal,
    master it as well as you will become a SENuke master as well.
    SENuke Inferno is a powerhouse!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s