W3af
برنامج W3af اختصار لـ (web application attack and audit framework) هو برنامج مفتوح المصدر يساعد على تأمين تطبيقات الويب الخاصة بك من خلال إيجاد واستغلال جميع الثغرات ونقاط الضعف الموجودة لدى تطبيقات الويب. فهو يُعد على أنه أحد أقوى 125 برنامج صُمم لأمن المعلومات؛ لإنه يعتبر أداة قوية لفحص تطبيقات الويب واظهار تفاصيل دقيقة تساعدك في زيادة الجانب الأمني والمحافظة على موقعك، فقد تم إصداره تحت رخصة جنو العمومية(GPLv2.0) . يعمل هذا البرنامج على أكثر من نظام تشغيل مثل: لينوكس، ويندوز وله عدة إصدارت ولكن يحتاج لوجود مفسر بايثون على نظام الويندوز لأنه مبرمج بلغة البايثون. ويتوفر هذا البرنامج بواجهتين: واجهة مستخدم رسومية (GUI) و واجهة سطر الأوامر (CLI).
نوع | |
---|---|
نظام التشغيل | |
النموذج المصدري | |
مواقع الويب |
لغة البرمجة | |
---|---|
الإصدار الأخير | |
المستودع | |
الرخصة |
التاريخ
عدلتمت برمجة W3af عن طريق Andres Riancho ذو جنسية أرجنتينية، حيث أصدر أول إصدار في سنة 2007 مارس. في يوليو 2010 أعلن اشتراكه مع Rapid7، لرعاية البرنامج وسرعة تطويره والاستمرار في نمو عدد المستخدمين والمساهمين.[4]
الهيكلة
عدلينقسم البرنامج إلى جزئين رئيسيين: المكونات أو المميزات الأساسية والمكونات الإضافية (برنامج مساعد (حوسبة)). المميزات الأساسية تنسق العمليات وتوفر المميزات التي يتم استهلاكها أو استخدامها من قبل المكونات الإضافية، فتقوم المكونات الإضافية بإيجاد نقاط الضعف واستغلالها وتحديد عناوين (URLs) جديدة؛ لذلك تعتبر المكونات الإضافية مهمة جدا للـ W3af.[5]
المكونات الإضافية يمكن تصنيفها إلى:
- Discovery: وهو للبحث عن (URLs) ونظام وإصدار الخادم المستضيف للموقع.
- Audit: يحتوي على كثير من الأدوات لاكتشاف الثغرات مثل xss, lfi, sqli….etc
- Grep: في هذا القسم توجد أدوات تقوم بحفظ جميع الاتصالات التي بينك وبين الموقع مثل الكوكيز والإيميل
- Mangle: يستخدم للتعديلات الفورية
- Evasion: لتخطي أنظمة كشف الاختراق IDS وIPS
- Bruteforce: هذا القسم يوفر أدوات تقوم بتخمين كلمة المرور واستخدم المستخدم لصاحب الموقع
وبعد الانتهاء من اختيار الأدوات سيقوم البرنامج بتقديم تقارير تُلخص كل ما وجده، وفي حال وجود ثغرة سيقوم بإعطائك الرابط أو الجهة المصابة ويعيق حركة الثغرة لتتحكم بها.
مراجع
عدل- ^ ا ب وصلة مرجع: https://api.github.com/repos/andresriancho/w3af. الوصول: 30 يوليو 2018.
- ^ ا ب "Release 1.6.49". 7 أبريل 2015. اطلع عليه بتاريخ 2018-07-23.
- ^ ا ب "Release 1.6.54: Prevent DBException: database or disk is full - Should stop the scan …". اطلع عليه بتاريخ 2019-09-24.
- ^ Part 1 of Andres Riancho’s presentation “w3af - A framework to 0wn the Web “at Sector 2009, Download PDF نسخة محفوظة 14 نوفمبر 2017 على موقع واي باك مشين.
- ^ "Plugins | w3af - Open Source Web Application Security Scanner". w3af.org. مؤرشف من الأصل في 2020-09-23. اطلع عليه بتاريخ 2020-09-28.
روابط خارجية
عدل- الموقع الرسمي
- شروحات توضيحية من الموقع الرسمي (بالإنجليزية)