Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
4Activity
0 of .
Results for:
No results containing your search query
P. 1
w3af_art

w3af_art

Ratings: (0)|Views: 87|Likes:
Published by Riadh Rezig
W3AF ou bien encore Web Application Attack and Audit Framework est, comme son nom l’indique, un framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web.
W3AF ou bien encore Web Application Attack and Audit Framework est, comme son nom l’indique, un framework permettant d’automatiser l’audit ainsi que les attaques à l’encontre des applications web.

More info:

Published by: Riadh Rezig on May 13, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

07/04/2010

pdf

text

original

 
4/2010
1
TECHNIQUE
D
epuis l'augmentation de l'importance d'Internetdans la vie quotidienne de nombreuses person-nes, la sécurité des sites web reste plus que ja-mais une inquiétude majeure. W3AF ou Web Applica-tion Attack and Audit Framework permet d'automatiser les attaques et les audits à l'encontre des sites Internetafin de vous prémunir contre les diverses attaques po-ssibles par des individus malintentionnés.
Pourquoi protéger vos applications web ?
La sécurité des sites Internet est aujourd'hui l’un desaspects de la sécurité en entreprise le plus souventnégligé alors qu’il devrait être une priorité dans n'im-porte quelle organisation. De plus en plus, les pira-tes informatiques concentrent leurs efforts sur lesapplications web afin d’obtenir une approche desinformations confidentielles et abuser des donnéessensibles comme les détails de client, les numérosde carte de crédit et autre. Les applications webréalisant des achats en ligne, des authentificationsd’utilisateurs ou utilisant simplement tous types decontenu dynamique permettent à l’utilisateur d’inte-ragir avec des données présents dans une base dedonnées. Sur certaines applications, ces donnéespeuvent être personnelles voir sensibles. Si ces ap-plications web ne sont pas sécurisées, votre base dedonnées entière de renseignements sensibles courtun risque réel.
FRAMEWORK W3AF
W3af ou bien encore Web Application Attack and AuditFramework est, comme son nom l’indique, un framework permettant d’automatiser l’audit ainsi que les attaques àl’encontre des applications web.
Cet article explique...
L’utilisation de w3af.La récupération et l’utilisation d’information.
Ce qu'il faut savoir...
Les bases des sites webLes bases des attaques Web (Injection SQL / Injection de code / Inclusion de chier)
Régis SENET
Figure 2.
W3AF via l’interface graphique
Figure 1.
Live CD Samurai 
 
FRAMEWORK W3AF
hakin9.org/fr
2
commenté permettant ainsi à n’importe quel déve-loppeur potentiel de créer ses propres modules/exploits.Grossièrement, w3af peut se décomposer en troiscatégories :• Découverte• Audit• AttaqueLes plugins de « découverte » ont pour but de re-chercher des formulaires, des urls ou plus généra-lement tout point potentiel d’injection de code ma-lveillant. Un exemple classique de plugin de déco-uverte est web spider. Ce plugin prend une URLen entrée et retourne un ou plusieurs points d'injec-tion.Les plugins d’ « audit » attendent les pointsd'injection découverts par les plugins de déco-uverte et envoient des données construitesspécifiquement à tous ces derniers afin de trouver des vulnérabilités. Un exemple classique de plugin au-dit est un plugin qui recherche des vulnérabilités d'in- jection SQL.Les plugins d’ « attaque » ont pour but d'exploiter les vulnérabilités trouvées par les plugins d’audit et dedécouverte. Ils retournent en général un Shell sur le se-rveur distant, ou un dump des tables distantes dans lecas des exploits d'injections SQL.
Origine du projet
Le projet w3af à vu le jour au début de l’année 2007grâce aux travaux de son unique développeur AndrésRiancho. Andrés est un chercheur connu et reconnudans le monde de la sécurité informatique notammentdans le domaine des applications web. W3af est actuel-lement à sa version 1.0-rc1Son principal objectif est de rendre le web le plussécuritaire possible vu les enjeux qui sont maintenanten train de transiter dessus.Le framework w3af est très portable et peut s’utiliser sur n’importe quelle plateforme tant que cette dernièresupporte le Python (Linux, WinXP, Vista, OpenBSD,etc.)Comme tous les systèmes informatiques, une appli-cation web doit répondre à trois caractéristiques :• Condentialité• Disponibilité• IntégritéLa sécurisation des réseaux ainsi que l’installation d’unpare-feu ne fournit aucune protection contre les atta-ques web car celles-ci sont lancées sur le port 80 (leport par défaut pour les sites Internet) qui doit rester ouvert. Pour la stratégie de sécurité la plus complète,il est donc urgent que vous auditiez régulièrement vosapplications web pour vérier la présence de vulnéra-bilités exploitables.
Pourquoi s’attaquer à une application web ?
Les failles web permettent des actions de plus en plusimportantes de la part des pirates informatiques. Il estfini le temps où le piratage d’un site Web s’est contentéd’afficher une simple fenêtre sur la page de l’utilisateur ou bien le vol d’un cookie.De nos jours, le piratage d’une application Web estnettement plus dangereux que cela :Défaçage complet ou partiel d’un site Internet.Accès aux données sensibles des utilisateurs.Il est bel et bien temps d’inclure les sites web dansla politique de sécurité des entreprises et ceci demanière draconienne. Pour faire, nous allons mainte-nant vous présenter w3af.
Qu’est ce que w3af ?
W3af ou bien encore Web Application Attack and Au-dit Framework est, comme son nom l’indique, un fra-mework permettant d’automatiser l’audit ainsi que lesattaques à l’encontre des applications web. Pour ceuxd’entre vous connaissant Métasploit, w3af peut êtrecomparé à ce dernier en matière de pen-test sur lesapplications web.W3af est un framework très complet placé souslicence GPL (General Public License) entièrementécrit en Python avec un code extrêmement bien
Figure 3.
W3AF via la ligne de commande
 
4/2010
3
TECHNIQUE
A partir du moment où l’environnement Python estprésent sur la machine accueillant w3af, il existe troismoyens afin de s’en servir :Téléchargement et installation des paquets (Solu-tion sous linux)Téléchargement et exécution des binaires (Solutionsous Windows)Utilisation de w3af contenu dans le LiveCD Samu-rai (cf. Figure 1)Au cours de cet article, nous allons donc utiliser le Li-veCD Samurai Web Testing Framework an de po-uvoir utiliser w3af dans les meilleures conditions po-ssibles.Pour simple information, Samurai Web Testing Fra-mework est un LiveCD préconfiguré pour les tests depénétration des sites web. Ce LiveCD contient les meil-leurs outils de cette catégorie qu’ils soient Open Sourceou bien gratuits. Ce LiveCD est disponible à l’adresse
http://samurai.inguardians.com/ 
Objectif 
Avec la réussite que rencontre w3af dans les tests depénétration web, Andrés Riancho a pour objectif de fa-ire de w3af le meilleur scanner d’application web OpenSource ainsi que le meilleur framework d’exploitationdes failles pour les applications web. Pour reprendre
Figure 6.
Lancement de l’attaque
Figure 5.
Site internet cible
Figure 4.
Liste des options disponibles en ligne de commande

Activity (4)

You've already reviewed this. Edit your review.
1 hundred reads
krys6 liked this
amone liked this
fonakor liked this

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->