w3af Guide de l'Utilisateur - Exploit Database

More documents

Recommendations

Info

– scapy●Prérequis pour l'interface graphique (GUI):– python sqlite3– pyparsing– pydot– graphviz– pygtk 2.0– gtk 2.12Comme vous avez pu le remarquer; les prérequis principaux sont nécessairespour exécuter w3af avec n'importequelle interface utilisateur (console ougraphique), et les prérequis de l'interface graphique utilisateur sont nécessaires sivous souhaitez utiliser l'interface utilisateur GTK+.Certains des prérequis sont inclus dans le paquetage, afin de rendre le processusd'installation plus simple pour les utilisateurs non expérimentés. Les prérequisembarqués se trouvent dans le répertoire extlib. La plus part des bibliothèquespeuvent être lancées depusi ce répertoire, mais certaines autres nécesitent uneinstallation, dont voici le processus (en tant que root):cd w3afcd fpconst-0.7.2python setup.py installcd ..cd pygooglepython setup.py installcd ..cd pywordnetpython setup.py installcd ..cd SOAPpypython setup.py installcd pyPdfpython setup.py install
Etapes w3afAvant même de lancer w3af, un utilisateur doit savoir comment l'applicatif estdivisé et comment les plugins seront exécutés. Basiquement, w3af possède troistypes de plugins:découverte, audit et attaque.Les plugins découvertes (discovery plugins) ont une unique utilité; trouver denouvelles URLs, formulaires et autres “points d'injectioné. Un exemple classiquede plugin découverte est l'explorateur web (web spider). Ce plugin attend uneURL en entrée et retourne un ou plusieurs points d'injection. Quand un utilisateuractive plus d'un plugin de ce type, ils fonctionnent dans une boucle: si le plugin Atrouve une nouvelle URL au premier tour, le moteur w3af enverra cette URL auplugin B. Si le plugin B trouve ensuite une nouvelle URL; elle sera envoyée auplugin A. Ce processus continuera jusqu'à ce que tous les plugins soient lancés etqu'aucune autre information sur l'application cible ne puisse être découverte viales plugins découverte activés.Les plugins audit attendent les points d'injection découverts par les pluginsdécouverte et envoient des données construites spécifiquement à tous cesderniers afin de trouver des vulnérabilités. Un exemple classique de plugin auditen est un qui recherche des vulnérabilités d'injection SQL.Les plugins attaque ont pour but d'exploiter les vulnérabilités trouvées par lesplugins audit. Ils retournent en général un shell sur le serveur distant, ou un dumpdes tables distantes dans le cas des exploits d'injections SQL.
Page 1 and 2: w3af Guide de l'UtilisateurVersion:
Page 3: IntroductionCe document est un guid
Page 8 and 9: | assert | Check assertion. ||-----
Page 10 and 11: Exécuter w3af avec l'interface uti
Page 12: Configuration de PluginLes plugins
Page 15 and 16: The extensions parameter is a comma
Page 17 and 18: Démarrer un scanAprès avoir confi
Page 19 and 20: ......The URL: http://localhost/bee
Page 21 and 22: Avertissement sur la découverteLa
Page 23 and 24: commande à la main dans la console
Page 25 and 26: w3af/exploit/osCommandingShell-0>>>
Page 27 and 28: time=0.037 ms64 bytes from localhos
Page 29 and 30: - http://localhost/w3af/ | Method:
Page 31 and 32: Execute "exitPlugin" to get out of
Page 33 and 34: l'exploitation.Maintenant que l'on
Page 35 and 36: Please wait some seconds while w3af
Page 37 and 38: w3afAgentComme vu dans un épisode
Page 39 and 40: Please wait some seconds while w3af
Page 41 and 42: Plus d'informationsDavantage d'info

w3af Guide de l'Utilisateur - Exploit Database

Create successful ePaper yourself

Delete template?

Save as template?