Image default
Recentes

Webpwn3r, um scanner de vulnerabilidades para aplicações web

O Webpwn3r é uma poderosa ferramenta de varredura para ambientes web, escrita em Python, possui a função de detectar vulnerabilidades de execução remota de códigos, ataques de XSS, SQL Injection e outras.

Características

A versão atual da ferramenta tem a capacidade de varrer uma única URL ou lista de URLs fornecidas em um arquivo de texto. É capaz de fornecer informações sobre as vulnerabilidades de injeção remota de código na URL desejada (ou na lista de URLs). Além disso, tem a capacidade de detectar tecnologias WAF (Web Application Firewall), como por exemplo o Web Knight (WAF para o IIS), Nginx WAF, dentre outros.

Instalação

O Webpwn3r pode ser instalado clonando a ferramenta do repositório do github usando o seguinte comando:

git clone https://github.com/zigoo0/webpwn3r.git
Webpwn3r, um scanner de vulnerabilidades para aplicações web
Webpwn3r, um scanner de vulnerabilidades para aplicações web / Fonte da imagem: https://www.oanalista.com.br/2017/05/11/wpseku-um-scanner-de-vulnerabilidades-para-encontrar-falhas-no-wordpress/

Como funciona

Usar o Webpwn3r é bem simples. Após clonar a ferramenta com êxito, acesse o diretório recém-criado (webpwn3r) e execute o seguinte comando:

python scan.py
Webpwn3r, um scanner de vulnerabilidades para aplicações web
Webpwn3r, um scanner de vulnerabilidades para aplicações web / Fonte da imagem: https://www.oanalista.com.br/2017/05/11/wpseku-um-scanner-de-vulnerabilidades-para-encontrar-falhas-no-wordpress/
  • Este comando, chama o Webpwn3r, onde a primeira ação a ser executada é escolher se deseja informar uma URL ou uma lista de URLs scaneada. Vamos fornecer somente uma URL. Após ela ser informada, é realizada uma conexão com o servidor remoto.
  • O código de status (200 OK) significa que a conexão foi configurada com sucesso e a ferramenta está pronta para iniciar o processo de fingerprint da aplicação web remota.
  • Após terminar o processo anterior, o Webpwn3r faz uma varredura da URL de destino em busca de meios para realizar a execução de código remoto, XSS e possibilidades de injeção de SQL (com base no banco remoto que está em execução);
  • A ferramenta testa a injeção de SQL em bancos MySQL, MSSQL (SQL Server), MS Acess, PostGreSQL e Oracle;
  • Se a URL de destino estiver OK, a ferramenta responderá que nenhuma vulnerabilidade foi encontrada
Webpwn3r, um scanner de vulnerabilidades para aplicações web
Webpwn3r, um scanner de vulnerabilidades para aplicações web / Fonte da imagem: https://www.oanalista.com.br/2017/05/11/wpseku-um-scanner-de-vulnerabilidades-para-encontrar-falhas-no-wordpress/

Se existir alguma vulnerabilidade, ela será mostrada nos resultados.

Webpwn3r, um scanner de vulnerabilidades para aplicações web
Webpwn3r, um scanner de vulnerabilidades para aplicações web / Fonte da imagem: https://www.oanalista.com.br/2017/05/11/wpseku-um-scanner-de-vulnerabilidades-para-encontrar-falhas-no-wordpress/

O Webpwn3r é uma poderosa ferramenta de varreduras com payloads que podem burlar muitos filtros de segurança e firewalls de aplicações web (WAF), sendo muito útil para pentests. A ferramenta procura por vulnerabilidades bem difundidas, mas seria interessante que esse leque fosse mais abrangente.

Caso queira saber mais sobre técnicas de pentest, recomendo o curso Fundamentos de Ethical Hacking: curso prático, do Marcos Flávio Araújo Assunção.

Não deixe de ler nosso post sobre o WPSeku, um scanner de vulnerabilidades para WordPress.

 

Fonte:

Webpwn3r – Web Application Vulnerability Scanner

Fonte imagem do post:

9 Best WordPress Security Plugins to Secure Your Website

 

Posts similares

Created which open very one

O Analista

ZMap, um poderoso scanner de rede que você precisa conhecer

O Analista

Evening be whose seasons

O Analista