개요
W3AF는 웹 응용 프로그램의 공격 및 감사 프레임 워크이다. W3AF 프로젝트의 목표는 모든 웹 어플리케이션의 취약점을 발견하고, 발견된 취약점이 악용되기 전에 웹 응용 프로그램을 보호할 수 있도록 하기 위해 만들어졌다. W3AF는 SQL 인젝션, 크로스 사이트 스크립팅, 추측 가능한 인증(Guessable credentials), 처리되지 않은 응용 프로그램 오류, PHP 설정 실수 같은 취약점을 식별한다.
테스트 환경
운영 체제 (OS) : Kali Linux 1.0.3 W3AF 버전 : v1.5 |
Kali Linux 1.0버전에서는 W3AF (W3AF 버전 1.1)이 정상적으로 동작하지만, Kali Linux 1.0.3 버전으로 업데이트되면서 W3AF도 1.2버전으로 업데이트되었다. Kali Linux 1.0.3 버전에서 W3AF를 실행시키면 아래와 같이 버그로 인해 정상 동작을 하지 않는다.
해당 버그는 W3AF 빌드 과정에서 존재하지 않는 모듈을 참조하면서 생긴 버그로 알려졌다. 해당 버그는 아래와 같이 운영체제 패키지 및 모듈을 설치하면 바로 해결된다.
|
운영체제 패키지 및 모듈을 모두 설치 한 후 다시한번 W3AF를 실행 하면 정상적으로 동작하는것을 확인 할 수 있다. 이글을 작성 하고 있는 현재 W3AF의 최신 버전은 v1.5이다. 이전 버전에서 간혹 동작하지 않는 모듈과 플러그인등과 관련한 각종 버그 및 기능 개선되었으며, 신규 취약점들도 추가되었다.
앞으로도 신규 버그들이 발견 될 수 있으나, 여기서는 현재까지 가장 안정적인 W3AF v1.5으로 업데이트 후 진행하겠다. 참고로 W3AF 프로젝트팀에서도 역시 가능한 최신 버전을 이용하는것이 좋다고 말하고 있다. W3AF v1.1까지는 소스포지(http://sourceforge.net/projects/w3af)에서 소스코드를 다운로드하였으나, 그 이후 버전 부터는 github로 이동되어 아래와 같이 git를 이용하여 소스코드를 다운로드 받는다.
root@kali:~#git clone https://github.com/andresriancho/w3af.git |
W3AF 패키지를 모두 다운로드 받으면, w3af 폴더 새로 만들어 진것을 확인 할 수 있다. w3af 폴더에 모든 패키지가 저장되어 있으며, 위에서 언급한 운영체제 패키지 및 모듈이 설치되어 있으면 별도의 작업없이 바로 사용이 가능하다.
만약 W3AF를 실행하는데 필요한 운영체제 패키지 및 모듈이 정상적으로 설치되지 않았을 경우 해당 내용을 출력해주기 때문에 W3AF가 요청하는 내용을 그대로 진행하면 큰 문제없이 사용할 수 있다.
[Network Sniffers] Netsniff-NG Tool Kit (2) - ifpps On Kali Linux (0) | 2013.07.01 |
---|---|
[Network Sniffers] Netsniff-NG Tool Kit (1) On Kali Linux (0) | 2013.06.26 |
[Forensics Hashing Tools] md5deep on Kali Linux (0) | 2013.05.30 |
[Network Forensics Tools] p0f On Kali Linux (0) | 2013.05.28 |
[Network Scanner] Dnmap on Kali Linux (0) | 2013.05.23 |