Tool hilft bei Schwachstellensuche in Webanwendungen

Das freie "Web Application Attack and Audit Framework" (w3af) bringt in der Version 1.0 130 Plug-ins zum Auffinden von Schwachstellen in Webanwendungen mit. Im Vergleich zu den Vorgängern soll die vorliegende Version seltener abstürzen und sich über die automatische Update-Funktion leicht aktualisieren lassen.

W3af ist spezialisiert auf SQL-Injection und Cross-Site-Scripting-Schwachstellen sowie auf Local-File-Inclusion- und Remote-File-Inclusion-Lücken. Das in Python geschriebene Tool ist als Kommando-Zeilen-Version verfügbar, bringt aber eine grafische Bedienoberfläche mit.

Für verschiedenen Arten von Scans sind bereits Profile vordefiniert, die man einfach übernehmen kann. Zum Start eines Scans ist dann nur noch die URL des zu untersuchenden Systems erforderlich. W3af soll gefundene Lücken sogar gleich ausnutzen und beispielsweise eine PHP-Shell auf einem verwundbaren System öffnen können. Der Upload eines PHP-Static-Code-Analyzer soll dann beim Finden weiterer Lücken helfen.

W3af steht als BZIP-Archiv (40MByte) und Installationsdatei für Windows (60 MByte) zum Download zur Verfügung. (dab)