Mila
Основатель
- Сообщения
- 4,944
- Реакции
- 8,552
Цель Web Application Attack and Audit Framework (w3af) заключается в создании легко используемого и расширяемого фреймворка для обнаружения и эксплуатации уязвимостей в веб-приложениях.
Версия 1.0 привносит важные улучшения в фреймворк:
* Стабильная кодовая база - улучшение, которое сведет падения w3af к минимуму;
* Автообновление - позволит поддерживать w3af обновленным без всяких усилий;
* Пейлоуды, ориентированные на веб-приложения - для людей, которые увлекаются техниками эксплуатации это одна из наиболее интересных вещей в безопасности веб-приложений. Разработчики создали различные уровни абстракции вокруг эксплуатируемой уязвимости для написания пейлоудов, которые используют эмулированные системные вызовы для чтения, записи и выполнения файлов на взломанных веб-серверах;
* Статический анализатор PHP кода - в рамках экспериментов и исследовательских проектов Джавиер Андалиа создал статический анализатор PHP кода, который осуществляет tainted mode анализ PHP кода с целью поиска SQL-инъекций, уязвимостей выполнения системных команд и PHP-инъекций. На этот раз ты можешь использовать данную интересную функцию как пейлоуд для веб-приложений.
После эксплуатации уязвимости попробуй: "payload php_sca", что приведет к загрузке удаленного PHP-кода на твой компьютер и его анализу для поиска большего количества уязвимостей.
Версия 1.0 привносит важные улучшения в фреймворк:
* Стабильная кодовая база - улучшение, которое сведет падения w3af к минимуму;
* Автообновление - позволит поддерживать w3af обновленным без всяких усилий;
* Пейлоуды, ориентированные на веб-приложения - для людей, которые увлекаются техниками эксплуатации это одна из наиболее интересных вещей в безопасности веб-приложений. Разработчики создали различные уровни абстракции вокруг эксплуатируемой уязвимости для написания пейлоудов, которые используют эмулированные системные вызовы для чтения, записи и выполнения файлов на взломанных веб-серверах;
* Статический анализатор PHP кода - в рамках экспериментов и исследовательских проектов Джавиер Андалиа создал статический анализатор PHP кода, который осуществляет tainted mode анализ PHP кода с целью поиска SQL-инъекций, уязвимостей выполнения системных команд и PHP-инъекций. На этот раз ты можешь использовать данную интересную функцию как пейлоуд для веб-приложений.
После эксплуатации уязвимости попробуй: "payload php_sca", что приведет к загрузке удаленного PHP-кода на твой компьютер и его анализу для поиска большего количества уязвимостей.