sábado, 12 de diciembre de 2009

Proyecto Anubis (Parte III)

Buenas a todos!, a partir de este post como ya os adelanté voy a comenzar a contar las herramientas que engloba Anubis para ayudar en los procesos de auditoría en las fases de Footprinting y Fingerprinting.

Hoy vamos a comenzar por la primera de ellas: WFUZZ

WFUZZ es una herramienta de edge-security (http://www.edge-security.com/wfuzz.php) que se utiliza en los procesos de auditoría para fuzzear un sitio web, y encontrar zonas ocultas en ella que puedan contener contenido no visible porque no es linkable desde otra página web. Esta información puede contener desde un script de administración del sitio web hasta un fichero con contraseñas.

WFUZZ se basa en ataques mediante diccionario para ir haciendo las diferentes pruebas. En Anubis he querido proporcionar una capa mas de abstracción al usuario programando una automatización de WFUZZ (que corre por debajo de Anubis).

En esta herramienta de Anubis se puede lanzar un ataque normal de WFUZZ y un ataque recursivo. Un ataque recursivo significa que cada vez que encuentre una ruta nueva, va a lanzar el escaneo completo a esa ruta interna.

Por defecto he incorporado los diccionarios que trae WFUZZ, pero estoy trabajando ahora para hacer un diccionario especializado para los diferentes tipos de organizaciones que existen, cuando lo tenga finalizado lo publicaré.

Tras lanzar el ataque y obtener el reporte podréis almacenarlo en un fichero, e incorporarlo para tratarlo o incorporarlo al informe de la auditoría.

Os dejo una captura de pantalla de la herramienta en la que he tapado la URL escaneada por razones obvias :). Las palabras que veis encontradas como “Agenda”, “Artículos”, … son ficheros ocultos que WFUZZ nos ha encontrado, para visualizarlos simplemente debéis escribir la URL en un navegador y concatenarle tras la / del final la palabra que WFUZZ nos ha encontrado.

1

saludos!

P.D. Si miráis la imagen veréis las herramientas que hay en la actualidad programadas :).

No hay comentarios: