Использованиe w3af в Kali Linux

Целью проекта w3af (Web Application Attack and Audit Framework) является создание фреймворка, который бы помог обезопасить ваше веб-приложения путем поиска и использования всех уязвимостей веб-приложения.

1. Как открыть

A. GUI-метод

Application → Kali linux→ Web Applications→ Web Vulnerability Scanners→ w3af

B. Отройте Terminal (Терминал), напечатайте w3af и нажмите enter (ввод)

2. Есть возможность выбора конфигурации (profile). Я рекомендую full_audit. Сначала нажмите на full_audit, а затем появится диалоговое окно. Просто нажмите в нем Yes (Да).

3. Теперь можно начинать сканирование. Для этого впишите URL в поле Target (Цель) и нажмите на start (запустить) для запуска сканирования.

4. Есть ещё одна опция. Если мы хотим осуществить сканирование цели на определенный плагин, то можно выбрать их. w3af просканирует целевой url только на основе этих плагинов. Я рекомендую это для опытных пользователей или для тех, кто знаком со своей целью и хочет просканировать определенные уязвимости.

5. После завершения сканирования внимательно прочитайте Log. Если на сайте присутствуют уязвимости, то они отобразятся там.

6. Если вы хотите знать об уязвимостях сайта, то просто перейдите на вкладку Result (Результат), а затем в KB browser. Там вы увидите типы уязвимостей, присутствующие на вашем сайте, а также много другой информации.

7 Можно посмотреть url, основанные на php, перейдя по Result → URLs

8. Вы также можете просмотреть типы уязвимостей вашего сайта на вкладке Exploit (Эксплойт)

9. Мы обнаружили URL на изображении номер 6, поэтому просто введите этот url в адресную строку, а затем используйте ваш XSS-скрипт и наблюдайте за волшебством.