Цель Web Application Attack and Audit Framework (w3af)
заключается в создании легко используемого и расширяемого фреймворка для
обнаружения и эксплуатации уязвимостей в веб-приложениях.
Версия 1.0 привносит важные улучшения в фреймворк:
- Стабильная кодовая база - улучшение, которое сведет падения w3af
к минимуму; - Автообновление - позволит поддерживать w3af обновленным без
всяких усилий; - Пейлоуды, ориентированные на веб-приложения - для людей, которые
увлекаются техниками эксплуатации это одна из наиболее интересных вещей в
безопасности веб-приложений. Разработчики создали различные уровни
абстракции вокруг эксплуатируемой уязвимости для написания пейлоудов,
которые используют эмулированные системные вызовы для чтения, записи и
выполнения файлов на взломанных веб-серверах; - Статический анализатор PHP кода - в рамках экспериментов и
исследовательских проектов Джавиер Андалиа создал статический анализатор PHP
кода, который осуществляет tainted mode анализ PHP кода с целью поиска
SQL-инъекций, уязвимостей выполнения системных команд и PHP-инъекций. На
этот раз ты можешь использовать данную интересную функцию как пейлоуд для
веб-приложений. После эксплуатации уязвимости попробуй: "payload", что приведет к загрузке удаленного PHP-кода на твой
php_sca
компьютер и его анализу для поиска большего количества уязвимостей.
