Pergunte aqui
0

Uniscan e w3af : Scanning e Auditoria de Vulnerabilidades Web no Fedora 25

perguntadas 2017-04-02 13:11:36 -0500

imagem do gravatar de jose_oliveira

updated 2017-04-02 13:38:10 -0500

Como instalar ferramentas de escaneamento de vulnerabilidades web no Fedora 25: Uniscan e w3af?

Abs

editar alterar tag assinalar como ofensivo fechar mesclar Excluir

1 Resposta

0

respondidas 2017-04-02 13:37:16 -0500

imagem do gravatar de jose_oliveira
Boa tarde.

O w3af e o Uniscan são duas ferramentas de auditoria de vulnerabilidades em aplicações Web que visam realizar vários testes automatizados e parametrizados diretamente no framework de acordo com a necessidade. A w3af é escrita em Python e a Uniscan é em Perl e tem seu código inteiramente publicado no Github.

Na internet existe todo um mundo de material para a versão .deb, mas pouca para Fedora (RPM ou DNF).

Sendo assim segue como eu resolvi:

========================================================================

Algumas observações:

- O script /tmp/w3af_dependency_install.sh vem com o "yum" pré-configurado. Basta usar o vim e editar ele para DNF:

#!/bin/bash
dnf install python3-pip
dnf install python-pip libxml2-devel libsqlite3x-devel libxslt-devel pywebkitgtk

ip install pyClamd==0.3.15 PyGithub==1.21.0 GitPython==0.3.2.RC1 pybloomfiltermmap==0    .3.14 esmre==0.3.1 phply==0.9.1 nltk==3.0.1 chardet==2.1.1 tblib==0.2.0 pdfminer==20140328 futur    es==2.1.5 pyOpenSSL==0.15.1 ndg-httpsclient==0.3.3 pyasn1==0.1.9 lxml==3.4.4 scapy-real==2.2.0-d    ev guess-language==0.2 cluster==1.1.1b3 msgpack-python==0.4.4 python-ntlm==1.0.1 darts.util.lru=    =0.5 Jinja2==2.7.3 vulndb==0.0.19 markdown==2.6.1 psutil==2.2.1 termcolor==1.1.0 mitmproxy==0.13     ruamel.ordereddict==0.4.8 Flask==0.10.1 PyYAML==3.12 tldextract==1.7.2 xdot==0.6

pip install --upgrade pyClamd==0.3.15 PyGithub==1.21.0 GitPython==0.3.2.RC1 pybloomfiltermmap==0.3.14 esmre==0.3.1 phply==0.9.1 nltk==3.0.1 chardet==2.1.1 tblib==0.2.0 pdfminer==20140328 futures==2.1.5 pyOpenSSL==0.15.1 ndg-httpsclient==0.3.3 pyasn1==0.1.9 lxml==3.4.4 scapy-real==2.2.0-dev guess-language==0.2 cluster==1.1.1b3 msgpack-python==0.4.4 python-ntlm==1.0.1 darts.util.lru==0.5 Jinja2==2.7.3 vulndb==0.0.19 markdown==2.6.1 psutil==2.2.1 termcolor==1.1.0 mitmproxy==0.13 ruamel.ordereddict==0.4.8 Flask==0.10.1 PyYAML==3.12 tldextract==1.7.2 xdot==0.6

====================================================================

- Mesmo depois de instalar as dependências acima ele vai ficar mostrando que falta o python-pip. Isso ocorre por conta da checagem de dependência do arquivo w3af_gui: dependency_check(). Basta comentar ela para que as outras dependências possam ser instaladas:

#!/usr/bin/env python

from __future__ import print_function

import getopt
import sys
import os
import base64

# Perform the GTK UI dependency check, this will verify that the current system
# has all the modules required to run w3af (including the core dependencies)
from w3af.core.ui.gui.dependency_check.dependency_check import dependency_check
#dependency_check()

====================================================================

Para identificar as dependências basta executar, como root, o programa que a cada execução ele vai trazer a dependência que esta faltando. Segue um exemplo de dependência e sua correção:

====================================================================

 ┌─[root]@[FEDORA]@[Sun Apr 02, 01:28 PM]
:~/w3af
└──> ^_^ pts/0: 17 ...
(more)
editar assinalar como ofensivo Excluir Link mais

Ferramentas de perguntas

1 seguidor

Estatísticas

Perguntadas: 2017-04-02 13:11:36 -0500

Lidas: 103 vezes

Última atualização: Apr 02 '17