martes, 7 de agosto de 2012

WAppEx: El explotador de aplicaciones Web

WAppEx, que es un sistema integrado y multi-plataforma de marco para la realización de pruebas de penetración y explotación de aplicaciones web en Windows o Linux. Se puede comprobar automáticamente para todo tipo de vulnerabilidades de seguridad en el destino dado y luego dejar que le permite ejecutar varias cargas útiles para explotar y aprovechar las ventajas de la vulnerabilidad.



WAppEx puede explotar las vulnerabilidades de aplicaciones web siguientes:

     SQL Injection: Una de las vulnerabilidades más peligrosas de las aplicaciones web. WAppEx utiliza el potente motor de Havij para detectar y aprovechar esta vulnerabilidad.
     Remote File Inclusion: RFI permitir a un atacante para incluir un archivo remoto y ejecutar código arbitrario. WAppEx puede comprobar esta vulnerabilidad y ejecutar varias cargas útiles para ejecutar comandos en el servidor web.
     La inclusión de archivos locales: LFI permitir a un atacante para incluir un archivo local para ejecutar código arbitrario. Al igual que las pruebas de RFI, WAppEx y explota esta vulnerabilidad.
     Comandos del sistema operativo: Esta vulnerabilidad permite a un atacante ejecutar comandos del sistema operativo en el servidor objetivo. Pruebas WAppEx y explota esta vulnerabilidad para ejecutar comandos personalizados para obtener una shell inversa.
     La inyección de secuencias de comandos: inyecciones de secuencias de comandos puede ser utilizado por un atacante para introducir (o "inyectar") secuencia de comandos en una aplicación web. WAppEx prueba automáticamente y explota esta vulnerabilidad de escalada de acceso al servidor web y trata de obtener una shell inversa.
     La divulgación de archivos locales: Así como el nombre representa, esta vulnerabilidad se describe el contenido de los archivos locales en un servidor web de destino. WAppEx puede explotar esta vulnerabilidad para leer los archivos sensibles en el servidor.

Además, WAppEx también contiene las siguientes herramientas para ayudar en la penetración de las pruebas y explotación de aplicaciones web:

     Cracker línea Hash: Una herramienta para la formación de grietas en los hashes con la búsqueda inversa en los sitios en línea.
     Codificador / decodificador: Un codificador / decodificador con unos algoritmos de encriptación completa.
     Buscar la página Usuario: Busca las páginas de inicio de sesión en un objetivo.
     Navegador: El navegador de pequeña se puede utilizar para ver el código fuente y las cabeceras HTTP.





No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.