W3AF et ses possibilités
Avant de rentrer dans les détails techniques que propose w3af, il est important de préciser qu’il est possible d’utiliser w3af de deux manières différentes :
Via son interface graphique
Via sa ligne de commande
Figure IV� L’interface de W3AF
.Il est également possible d’utiliser la ligne de commande pour se servir de w3af. Il est possible, via la ligne de commande, d’exécuter exactement les mêmes commandes que grâce à l’interface graphique.
Figure IV� W3AF en ligne de commande
Maintenant, nous allons tenter de découvrir w3af un peu plus en profondeur en dévoilant les 8 catégories distinctes que ce dernier possède :
Découverte
Audit
Attaques
Grep
Modificateurs de requête
Evasion
Brute Force
Affichage
Comme nous avons pu le dire précédemment, les plugins de « découverte » ont pour objectif de rechercher des points d’injection dans un site web (url, formulaire, page d’authentification).
Les plugins d’« audit » récupèrent les points d’injection trouvés précédemment par les plugins de découverte et tentent de trouver des vulnérabilités spécifiques à toutes les possibilités.
Les plugins d’« attaque » exploitent les vulnérabilités trouvées par les plugins d’audit. Ils retournent en général un Shell sur le serveur distant, ou un dump des tables distantes dans le cas des exploits d'injections SQL.
Les plugins de type « grep » analysent le contenu de l’ensemble des pages et tentent de trouver des vulnérabilités sur les pages interrogées. Certains plugins vont, par exemple, tenter de récupérer des commentaires dans les pages HTML possédant certains mots clé comme « password », « admin » etc.
Les plugins « modificateurs de requête » permettent comme leurs noms l’indique de modifier les requêtes ainsi que les réponses du serveur avant de les réacheminer. Il est important de comprendre que grâce à ce genre d’outils, les contrôles mis en place coté client par du JavaScript par exemple peuvent facilement être contournés comme la gestion des longueurs maximale d’un champ grâce à l’attribut « maxlength ».
Les plugins d’ « évasion » tentent de contourner l’ensemble des règles mises en place par des IDS (Intrusion Detection System) ou IPS (Intrusion Prevention System) afin d’être le plus furtif possible.
Les plugins de « bruteforce » permettent de réaliser des attaques par force brute contre les formulaires d’indentifications par exemple.
Dernièrement, les plugins d’« affichage » quant à eux représentent la manière via laquelle les plugins vont communiquer avec l'utilisateur. Les plugins d’affichage enregistrent les données dans un fichier texte ou HTML.
Avant de vous exposer un cas concret, nous allons faire une liste non exhaustive de quelques plugins rangés par catégories.
Audit
SQL injection detection
XSS detection
SSI detection
Local file include detection
Remote file include detection
Buffer Overflow detection
OS Commanding detection
Response Splitting detection
Découverte
Pykto
Hmap
fingerGoogle
googleSpider
webSpider
Grep
collectCookies
directoryIndexing
findComments
pathDisclosure
strangeHeaders
Affichage
console
htmlFile
textFile
Modificateur de requête
sed, un éditeur de requête http
Evasion
reversedSlashes
rndCase
rndHexEncode
Attaque
davShell
fileUploadShell
googleProxy
mysqlWebShell [10]
|
