Wsfuzzer. Wsfuzzer é uma ferramenta de teste de penetração fuzzing usada contra serviços da Web baseados em HTTP.
Baixe Agora

Wsfuzzer. Classificação e resumo

Wsfuzzer. Tag

teste Fuzzing Analisador XML penetração Teste de penetração ataques fuzzing

Wsfuzzer. Descrição

O Wsfuzzer é uma ferramenta de teste de penetração fuzzing usada contra serviços da Web baseados em sabão HTTP. O Wsfuzzer é uma ferramenta de teste de penetração fuzzing usada contra serviços da Web baseados em sabão HTTP. É um programa licenciado GPL, escrito em Python, que atualmente segmenta os serviços da Web. Na versão atual HTTP baseada em serviços SOAP são o alvo principal. Esta ferramenta foi criada com base em, e para automatizar, algum trabalho de teste de caneta de sabão manual do mundo real. Esta ferramenta não é para ser um substituto para análise humana manual sólida. Por favor, veja o Wsfuzzer como uma ferramenta para aumentar a análise realizada por profissionais competentes e qualificados. Serviços da Web não são na natureza, portanto, a experiência nesta área é uma obrigação para testes de caneta adequados. Automatizar alguns dos processos de sabão mais intensos que seriam bastante demorados se executados manualmente, para fazer a geração de vetor de ataque em um Moda dinâmica e inteligente com base no alvo específico · Proporcionando suas funcionalidades / dados resultantes para outras ferramentas de forma perfeita · Para facilitar o uso repetitivo de vetores de ataque bem-sucedidos conhecidos, especialmente contra alvos específicos · fazer parte de um teste de caneta de aplicativos sólidos da Web Toolkit · Para ser tão fácil de usar dentro do espectro de compreensão, e trabalhar com, SOAP ServiceSit não é o objetivo do Wsfuzzer para substituir a análise humana. Aamof Wsfuzzer não faz atualmente qualquer análise dos resultados reunidos. O trabalho de análise é deixado para o analista / engenheiro executando um determinado teste de caneta. Esta ferramenta é, em última análise, destinada a aumentar um trabalho de testadores de caneta em relação aos serviços de sabão. Existem algumas características importantes do "Wsfuzzer": · Pen testa um sabão HTTP Serviço Web com base em WSDL válido, conhecido boa carga XML ou um endpoint e namespace válidos. · Pode tentar detectar inteligentemente o WSDL para um determinado destino. · Inclui um scanner de porta TCP simples. · O Wsfuzzer tem a capacidade de fuzz de métodos vários parâmetros. Existem 2 modos de ataque / fuzzing: "individual" e "simultâneo". Cada parâmetro é tratado como uma entidade exclusiva (modo individual), e pode ser atacado ou deixado sozinho, ou vários parâmetros são atacados simultaneamente (daí o nome - modo simultâneo) com um determinado conjunto de dados. · A geração de fuzz (strings de ataque ) consiste em uma combinação de um arquivo de dicionário, alguns padrões de injeção dinâmicos opcionais e alguns ataques específicos de método opcional, incluindo a XXE automatizada e geração de ataque do WSSE. · A ferramenta também fornece a opção de usar algumas técnicas de evasão IDS que contribui para uma poderosa segurança Infraestrutura (IDS / IPS) Experiência de teste. · Uma medição de tempo de cada viagem de ida e volta entre a solicitação e a resposta é fornecida para auxiliar potencialmente na análise de resultados. · Para qualquer determinado programa Executar os vetores de ataque gerados são salvos em um arquivo XML. O arquivo XML é chamado XXX e está localizado no mesmo diretório onde o arquivo HTML de resultados é salvo. Um arquivo XML gerado anteriormente de vetores de ataque pode ser utilizado em vez do combo dicionário / automatizado. Isso é por causa de repetibilidade quando os mesmos vetores precisam ser usados repetidamente. O que é novo nesta versão: · Tons para baixo alguns dos processos de geração de vetor de ataque aleatório para melhorar o desempenho do tempo de execução do prog. · Adicionado suporte para Cargas de documentos / ganchos literais a serem enviados através da opção --XML. · Adicionado código para verificar a disponibilidade do host no final possível. Prog morre se host não disponível. · Adicionado código a salvar automaticamente (para arquivo local) todos os vetores de ataque gerados para uma determinada corrida. O arquivo está em um formato XML simples. · Adicionado um recurso para utilizar vetores de ataque salvos a partir do arquivo XML, em oposição à geração dinâmica de vetores de ataque. Esta opção é invocada com o botão "--attacks =". · Adicionado mais opções no modelo de arquivo de configuração para que, quando se for usada, menos aspectos interativos sejam exercitados.

Wsfuzzer. Software Relacionado