w3afは、Webアプリケーションの攻撃および監査フレームワークです。w3afのコア部分やプラグインはPythonで実装されています。SQLインジェクションのチェックやクロスサイトスクリプティング(XSS)、ローカル/リモートファイルインクルージョンなどを含めた130以上のプラグインが提供されています、とな。
[amazon_enhanced asin=”4797361190″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /] [amazon_enhanced asin=”4873112303″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /] [amazon_enhanced asin=”4561234071″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /] [amazon_enhanced asin=”4839926298″ container=”” container_class=”” price=”All” background_color=”FFFFFF” link_color=”000000″ text_color=”0000FF” /]
—
■入手先 ⇒ http://sourceforge.jp/projects/sfnet_w3af/
Windows 版 ⇒ http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af_1.0_stable_setup.exe/
MacOS 版 ⇒ http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af-1.0-stable.tar.bz2/
Linux 版 ⇒ http://sourceforge.jp/projects/sfnet_w3af/downloads/w3af/w3af%201.0-stable/w3af-1.0-stable.tar.bz2/
—
■インストール・スクリーンショット (Windows 版)
インストールから起動、そして実施例まで。
—
■インストールディレクトリ(標準)
C:Program Files (x86)w3af
—
■実行例を再度確認しましょう。
実行すると
Starting w3af, running on: Python version: 2.6.6 (r266:84297, Aug 24 2010, 18:46:32) [MSC v.1500 32 bit (Intel)] GTK version: 2.22.0 PyGTK version: 2.22.0
コンソールから、稼働環境で使用する Python, GTK, PyGTK が呼び出されます。
↓
続いて最新の攻撃と監査フレームワークが更新されロードされます。
w3af - Web Application Attack and Audit Framework Version: 1.1 (from SVN server) Revision: 4413 Author: Andres Riancho and the w3af team.
↓
新規に環境作成します。
↓
監査対象先を指定します。ここでは自サイトが無難でしょう。ただし攻撃検知などを仕込んでいる場合はアラートが続出するので要注意です。
↓
結果は共有サーバであることの注意が報告されていました。
—
■使い方によっては本来の目的ではない攻撃ツールになってしまいますので、要注意です。不注意では決して済まされません。
以上