W3af 웹 응용 프로그램 공격 프레임 워크 치트 시트¶

제품정보¶

W3af (Web Application Attack and Audit Framework)는 종합적인 오픈 소스 웹 애플리케이션 보안 스캐너입니다. 웹 애플리케이션 취약성을 찾는 데 필요한 완벽한 프레임워크를 제공하며, 발견, 감사 및 공격 플러그인을 통해 철저한 보안 평가를 제공합니다.

· ** 보증**: 이 도구는 공인된 침투 테스트 및 보안 평가에만 적용됩니다. 모든 대상에 대해 사용하기 전에 적절한 권한이 있습니다.

설치하기¶

Ubuntu/Debian 설치¶

카지노사이트

수동 설치¶

카지노사이트

Docker 설치¶

카지노사이트

Kali 리눅스¶

카지노사이트

기본 사용¶

콘솔 인터페이스¶

카지노사이트

기본 명령¶

카지노사이트

플러그인 카테고리¶

Discovery 플러그인¶

Plugin	Description
`web_spider`	Web application spider
`dir_file_bruter`	Directory and file brute forcer
`dns_wildcard`	DNS wildcard detection
`robots_txt`	Robots.txt analyzer
`sitemap_xml`	Sitemap.xml parser
`google_spider`	Google search spider
`bing_spider`	Bing search spider

감사 플러그인¶

Plugin	Description
`sqli`	SQL injection detection
`xss`	Cross-site scripting detection
`csrf`	Cross-site request forgery
`lfi`	Local file inclusion
`rfi`	Remote file inclusion
`os_commanding`	OS command injection
`xpath`	XPath injection
`ldapi`	LDAP injection

공격 플러그인¶

Plugin	Description
`sqlmap`	SQL injection exploitation
`shell_shock`	Shellshock exploitation
`file_upload`	File upload exploitation
`dav`	WebDAV exploitation
`rfi`	Remote file inclusion exploitation

구성 및 설정¶

기본 설정¶

카지노사이트

인증 구성¶

카지노사이트

프록시 설정¶

카지노사이트

검색 단계¶

웹 스파이더 구성¶

카지노사이트

디렉토리 Brute Force¶

ο 회원 관리

종합 디스커버리 설정¶

카지노사이트

감사 단계¶

SQL 주입 탐지¶

카지노사이트

크로스 사이트 스크립트 (XSS)¶

카지노사이트

파일 포함 취약점¶

카지노사이트

종합 감사 Setup¶

카지노사이트

공격 단계¶

SQL 주입 폭발¶

카지노사이트

파일 업로드 폭발¶

카지노사이트

Shell 액세스¶

카지노사이트

산출과 보고¶

산출 윤곽¶

오프화이트

HTML 보고서 생성¶

카지노사이트

사이트맵 공지사항¶

오프화이트

고급 구성¶

사용자 정의 Payloads¶

카지노사이트

양식 인증¶

카지노사이트

세션 관리¶

카지노사이트

스크립트 및 자동화¶

W3af 스크립트 파일¶

카지노사이트

실행 스크립트¶

카지노사이트

파이썬 API 제품 정보¶

카지노사이트

프로필 및 템플릿¶

내장 프로파일¶

```bash

List available profiles¶

w3af>>> profiles w3af>>> profiles use OWASP_TOP10 w3af>>> profiles use fast_scan w3af>>> profiles use full_audit

View profile configuration¶

w3af>>> profiles view OWASP_TOP10 ```의 경우

사용자 정의 프로파일 만들기¶

```bash

Save current configuration as profile¶

w3af>>> profiles w3af/profiles>>> save_as custom_profile

Load custom profile¶

w3af/profiles>>> use custom_profile w3af/profiles>>> back ```에 대하여

Profile 구성 파일¶

```python

Create custom profile file (custom_scan.pw3af)¶

[target] target = http://target.com/

[plugins] discovery = web_spider, dir_file_bruter, robots_txt, sitemap_xml audit = sqli, xss, csrf, lfi, rfi, os_commanding attack = sqlmap, file_upload

[discovery.web_spider] only_forward = False ignore_regex = .*.(jpg|jpeg|png|gif|pdf|zip)$

[audit.sqli] check_numeric = True check_string = True

[output] output = console, text_file text_file.output_file = /tmp/custom_scan.txt ```의 경우

다른 도구와 통합¶

Burp Suite 통합¶

```bash

Configure w3af to use Burp as proxy¶

w3af>>> http-settings w3af/config:http-settings>>> set proxy_address 127.0.0.1 w3af/config:http-settings>>> set proxy_port 8080 w3af/config:http-settings>>> back

Export findings to Burp format¶

w3af>>> plugins w3af/plugins>>> output burp_export w3af/plugins>>> back ```에 대하여

Metasploit 통합¶

```bash

Export vulnerabilities for Metasploit¶

w3af>>> plugins w3af/plugins>>> output metasploit_export w3af/plugins>>> output config metasploit_export w3af/plugins/output/config:metasploit_export>>> set output_file /tmp/w3af_msf.rc w3af/plugins/output/config:metasploit_export>>> back w3af/plugins>>> back

Use in Metasploit¶

msfconsole -r /tmp/w3af_msf.rc ```의 경우

채용 정보 통합¶

카지노사이트

성능 최적화¶

스레드 구성¶

카지노사이트

메모리 관리¶

카지노사이트

비율 제한¶

카지노사이트

문제 해결¶

일반적인 문제¶

카지노사이트

Debug 모드¶

카지노사이트

로그 분석¶

```bash

View w3af logs¶

tail -f ~/.w3af/w3af.log

Enable verbose logging¶

w3af>>> misc-settings w3af/config:misc-settings>>> set verbose True w3af/config:misc-settings>>> back ```의 경우

최고의 연습¶

스캔 전략¶

** 발견 시작 **: 포괄적인 발견 플러그인을 먼저 사용
** 감사**: 발견된 공격 표면에 초점 감사 플러그인
**Gradual 에스컬레이션 **: 안전한 플러그인으로 시작, 다음 intrusive ones로 이동
명세 최근 업데이트: w3af를 유지하고 업데이트된 플러그인
명세 ** 사용자 정의 페이로드 ** : 특정한 신청을 위한 custom payloads 창조하기

성능 고려¶

```bash

Optimized configuration for large applications¶

w3af>>> misc-settings w3af/config:misc-settings>>> set thread_number 15 w3af/config:misc-settings>>> set max_discovery_time 1800 w3af/config:misc-settings>>> set max_scan_time 7200 w3af/config:misc-settings>>> back

w3af>>> http-settings w3af/config:http-settings>>> set max_requests_per_second 10 w3af/config:http-settings>>> set timeout 30 w3af/config:http-settings>>> back ```의 경우

스텔스 스캐닝¶

카지노사이트

자동화 스크립트¶

종합 검사 Script¶

```bash

!/bin/bash¶

TARGET=$1 OUTPUT_DIR="w3af_results_$(date +%Y%m%d_%H%M%S)"

if [ -z "$TARGET" ]; then echo "Usage: $0 " exit 1 fi

mkdir -p $OUTPUT_DIR

Create w3af script¶

cat > "$OUTPUT_DIR/scan.w3af" << EOF target set target $TARGET back

plugins discovery web_spider, dir_file_bruter, robots_txt, sitemap_xml audit sqli, xss, csrf, lfi, rfi, os_commanding, xpath output console, text_file, html_file output config text_file set output_file $OUTPUT_DIR/w3af_report.txt back output config html_file set output_file $OUTPUT_DIR/w3af_report.html back back

start EOF

Run scan¶

echo "[+] Starting w3af scan for $TARGET" w3af_console -s "$OUTPUT_DIR/scan.w3af"

echo "[+] Scan complete. Results saved in $OUTPUT_DIR/" ```의 경우

배치 스캐닝 스크립트¶

```bash

!/bin/bash¶

TARGETS_FILE=$1 OUTPUT_BASE="w3af_batch_$(date +%Y%m%d_%H%M%S)"

if [ -z "$TARGETS_FILE" ]; then echo "Usage: $0 " exit 1 fi

mkdir -p $OUTPUT_BASE

while read target; do if [ ! -z "$target" ]; then echo "[+] Scanning \(target" target_dir="$OUTPUT_BASE/\)(echo $target|sed 's|https\?://||'|sed 's|/|_|g')" mkdir -p "$target_dir"

    cat > "$target_dir/scan.w3af" << EOF

target set target $target back

plugins discovery web_spider, dir_file_bruter audit sqli, xss, csrf output text_file output config text_file set output_file $target_dir/report.txt back back

start EOF

    w3af_console -s "$target_dir/scan.w3af"
fi

done < $TARGETS_FILE

echo "[+] Batch scanning complete. Results in $OUTPUT_BASE/" ```를 호출합니다.

지원하다¶

*이 속임수 시트는 W3af를 사용하여 포괄적 인 참조를 제공합니다. 웹 애플리케이션 보안 테스트를 수행하기 전에 적절한 권한이 있습니다. *필수