¡La Informática al límite!
Wapiti – Web application vulnerability scanner
Wapiti es una aplicación que permite auditar la seguridad de sus aplicaciones web.
No estudia el código fuente de la aplicación, pero va a escanear las páginas web de la webapp, en busca de scripts y de formas en las que se puedan inyectar datos.
Posteriormente, Wapiti actúa como un fuzzer, inyectando payloads para ver si es vulnerable.
Se pueden detectar las siguientes vulnerabilidades:
- Errores en el manejo de archivos (local y remote include/require, fopen, readfile…)
- Inyecciones en base de datos (PHP/JSP/ASP SQL e inyecciones XPath)
- XSS (Cross Site Scripting).
- Inyección LDAP
- Detección de comandos de ejecución (eval (), system (), passtru ()…)
- CRLF
Wapiti no se basa en una base de datos de vulnerabilidades como lo hace Nikto, a pesar de que integra su base de datos como un tipo de ataque desde la versión 2.2.1
Wapiti tiene como objetivo descubrir vulnerabilidades desconocidas en las aplicaciones web.
No proporciona una interfaz gráfica para el momento y hay que usarlo desde un terminal.
Wapiti es capaz de crear informes completos que incluyen todas las vulnerabilidades encontradas y la información relacionada con el fin de ayudar a solucionarlos.
Descargar
| Este artículo fue publicado por WindHack el 22 octubre, 2011 a las 8:18 AM, y está archivado en Inseguridad Informática. Sigue las respuestas a esta entrada a través de RSS 2.0. Puedes dejar un comentario o enviar un trackback desde tu propio sitio. |
Aún no hay trackbacks.
Grave vulnerabilidad en PHP-CGI
hace 1 semana - No hay comentarios
Grave vulnerabilidad en PHP-CGI Importancia: 5 – Crítica Fecha de publicación: 03/05/2012 Recursos afectados Servidores web con PHP ejecutándose como CGI. Descripción Posibilita el paso de parámetros al intérprete, lo que permite la ejecución de código arbitrario y la revelación de información confidencial. Solución Ya existen módulos de la herramienta de pentesting y hacking metasploit…
Cross Site Scripting en jQuery 1.6
hace 8 meses - No hay comentarios
Se ha arreglado una vulnerabilidad que permitía realizar ataques Cross Site Scripting (XSS) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable ‘location.hash’ en un contexto que no fuera el de Cascading Style Sheets (CSS). jQuery es una biblioteca o framework javascript de software libre y código abierto. Es compatible con la mayoría…
Anonymous lanza una herramienta para secuestrar los trending topics de Twitter
hace 8 meses - No hay comentarios
El colectivo de “hacktivistas” Anonymous lanzó una nueva herramienta diseñada para secuestrar los trending topics de Twitter, llenándolos de mensajes que tengan que ver con ellos. Llamada URGE (Universal Rapid Gamma Emitter), el software – en beta – está disponible para descargar en PCs con Windows y requiere .Net Framework 4 para funcionar. “Esta no…
Sitio web ideal para obtener el clima de una ciudad
hace 9 meses - No hay comentarios
Pues bueno, navegando un poco con DuckDuckGo me encontré que al escribir el goodie “temp in [Ciudad]” daba los datos climáticos del momento. Mirando ese resultado, pude ver que los datos los da gracias al sitio WorldWeatherOnline, y sin más rodeos le eché un vistazo y realmente me agradó, ya que da una información bastante fiable y concreta.…
Routerpwn, un framework para explotar dispositivos embebidos
hace 9 meses - No hay comentarios
Routerpwn.com es una aplicación web que permite y ayuda a explotar las vulnerabilidades en algunos routers. Es un conjunto de exploits listos para correr de forma local y remota. Está programado en JavaScript y HTML, y está optimizada para correr en SmartPhones y otros dispositivos de internet móviles. Es sólo un archivo HTML…
Inyección masiva de iframes a sitios de e-commerce
hace 9 meses - No hay comentarios
Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando.…
KromCAT: Convierte Chrome en una herramienta de auditorías
hace 10 meses - No hay comentarios
Hace algún tiempo os presenté Mantra. Un navegador basado en Mozilla Firefox y que se combinaba con el proyecto FireCAT para convertirlo en una potente herramienta para realizar auditorías de seguridad, pero como es mejor tener una lista de dónde elegir, hoy os vengo a presentar el proyecto KromCAT. KromCAT es un conjunto…
XSSPloit: Un escáner de vulnerabilidades XSS
hace 10 meses - 1 comentario
XSSploit es un escáner multi-plataforma de Cross-Site Scripting y exploiter escrito en Python. Se ha desarrollado para ayudar a descubrir y explotar las vulnerabilidades XSS en pruebas de penetración. Cuando se utiliza, XSSploit primero se arrastra todo el sitio web e identifica las formas encontradas. A continuación, analiza estas formas de detectar automáticamente las vulnerabilidades…
Skype vulnerable a Cross-Site Scripting
hace 10 meses - No hay comentarios
Levent Kayan (noptrix), ha reportado una vulnerabilidad de Cross-Site Scripting permanente en Skype que afecta a las versiones anteriores o iguales a la 5.3.0.120. Las plataformas afectadas son Windows XP, Vista, 7 y Mac OS X. La vulnerabilidad es causada por una falta de validación de los datos introducidos en el campo del Perfil “Móvil” ( Mobile Phone ). El…
Google lanza una herramienta para detectar vulnerabilidades en aplicaciones web
hace 10 meses - No hay comentarios
Google ha lanzado una nueva herramienta denominada DOM Snitch destinada a desarrolladores que permite verificar si las aplicaciones web que han creado son vulnerables a ataques y ponen en peligro la seguridad de los usuarios de Chrome. La herramienta que lanza Google es una extensión de Chrome en fase experimental permite a los desarrolladores y…
hace 5 meses
O_O no sabia de esto, muy bueno hay que probarlo