[IT] w3af 導入例 / Webアプリケーションの攻撃および監査フレームワーク

w3afは、Webアプリケーションの攻撃および監査フレームワークです。w3afのコア部分やプラグインはPythonで実装されています。SQLインジェクションのチェックやクロスサイトスクリプティング（XSS）、ローカル/リモートファイルインクルージョンなどを含めた130以上のプラグインが提供されています、とな。

[amazon_enhanced asin=”4797361190″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /]　　[amazon_enhanced asin=”4873112303″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /]　　[amazon_enhanced asin=”4561234071″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /]　　[amazon_enhanced asin=”4839926298″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /]

—

■入手先　⇒　http://sourceforge.jp/projects/sfnet_w3af/

Windows 版　⇒　http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af_1.0_stable_setup.exe/

MacOS 版　⇒　http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af-1.0-stable.tar.bz2/

Linux 版　⇒　http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af-1.0-stable.tar.bz2/

—

■インストール・スクリーンショット (Windows 版）

インストールから起動、そして実施例まで。

—

■インストールディレクトリ（標準）

C:Program Files (x86)w3af

—

■実行例を再度確認しましょう。

実行すると

Starting w3af, running on: Python version: 2.6.6 (r266:84297, Aug 24 2010, 18:46:32) [MSC v.1500 32 bit (Intel)] GTK version: 2.22.0 PyGTK version: 2.22.0

コンソールから、稼働環境で使用する Python, GTK, PyGTK が呼び出されます。

↓

続いて最新の攻撃と監査フレームワークが更新されロードされます。

w3af - Web Application Attack and Audit Framework Version: 1.1 (from SVN server) Revision: 4413 Author: Andres Riancho and the w3af team.

↓

新規に環境作成します。

↓

監査対象先を指定します。ここでは自サイトが無難でしょう。ただし攻撃検知などを仕込んでいる場合はアラートが続出するので要注意です。

↓

結果は共有サーバであることの注意が報告されていました。

—

■使い方によっては本来の目的ではない攻撃ツールになってしまいますので、要注意です。不注意では決して済まされません。

以上