اسکنر w3af ، متاسپلویت دنیای وب

اسکنر w3af ، متاسپلویت دنیای وب

درود بر کاربران عزیز پلتفرم آموزشی زودیاک ، مرجع آموزش هک و امنیت

امروز با معرفی یک ابزار خاص در خدمت شما هستیم.

در دنیای فناوری اطلاعات و برنامه نویسی ، اشتباهات برنامه نویسان که متاسفانه کم هم نیستند منجر به حفره های امنیتی می شوند. این حفره های امنیتی بسته به نوعش می تواند دسترسی یا امکانات متفاوتی را در اختیار هکر قرار دهد. مثلا اگر حفره امنیتی از نوع RFU باشد هکر توانایی آپلود فایل های مخرب را بر روی سرور دارد. اگر حفره از نوع RCE باشد هکر می تواند دستورات ترمینال یا خط فرمان سیستم عامل سرور را در URL اجرا کند و …..

برای اَنایی بیشتر با انواع باگ ها می توانید به آ»وزش زیر مراجعه کنید :

انواع باگ وبسایت ها

وجود حفره امنیتی می تواند یک مشکل امنیتی بزرگ برای هر وب سایت و شبکه ای باشد. به همین دلیل همیشه گفته می شود در فواصل منظم مثلا هر 3 ماه یکبار باید یک ستست نفوذ کامل انجام داد. یکی از ابزار های که در تشخیص این آسیب پذیری ها می تواند بسیار مفید باشد اسکنر w3af است.

این اسکنر که بصورت پیش فرض در سیستم عامل کالی لینوکس در دسترس است ، بصورت مولتی پلتفرم توسعه پیدا کرده است و از هر 3 سیستم عامل ویندوز ، لینوکس و مک بصورت رایگان پشتیبانی می کند. اسکنر w3af بصورت گرافیکی است و دارای یک رابط GUI ساده و کاربرند پسند است.  هرچند که این اسکنر قدرتمند دارای یک رابط خط فرمانی هم است که نام آن W3AF-CONSOLE است.

این اسکنر نه تنها می تواند به کاربر در خصوص پیدا کردن حفره امنیتی کمک کند بلکه می تواند در استفاده و بهره وری از حفره هم کمک کاربر کند. به دلیل قدرت زیاد و توانایی بهره وری از حفره امنیتی، این اسکنر ، در دنیای هک و امنیت به متاسپلویت دنیای وب مشهور است. اسکنر w3af در تست های جعبه سیاه (تست های که هیچگونه اطلاعات اولیه ای در مورد تارگت در دسترس نیست) بسیار کاربرد دارد. این اسکنر دارای 130 پلاگین است و با کمک پالاگین ها می تواند حفره های امنیتی را شناسایی و از آنها بهره وری کند.

هسته اسکنر w3af و تمام 130 پلاگین آن با زبان پایتون نوشته شده است

ویژگی های کلیدی این ابزار

• دقت بالا
• سرعت بالا
• دارای رابط کاربری گرافیکی
• سبک اما قدرتمند
• کش کردن dns
• ارسال درخواست های http
• توانایی سواستفاده از حفره کشف شده
• استفاده از پروکسی
• توانایی شناسایی حفره امنیتی که منجر به حمله Buffer overflow می شود.
• Spoof کردن یوزر ایجنت
• بررسی کوکی ها و هدر های امنیتی
• توانایی حمله bruteforce

توانایی شناسایی و سواستفاده از  حفره امنیتی های امنیتی زیر :

• SQL injection
• XSS
• LFI
• RFI
• RFU
• RFD
• CSRF
• و ….

امیدوارم از معرفی اسکنر w3af لذت برده باشید.

تجربه خود را در خصوص این ابزار با ما به اشتراک بگذارید.

شاد و پیروز باشید.