Maguey Wiki

Maguey Application Testing Framework ™

Brought to you by: maguey

JBrofuzz-es

Regresar English

JBrofuzz

Fase(s):

Principal: Descubrimiento.
Secundaria: N/A.

Descripción:

Es una herramienta que permite ejecutar técnicas de “fuzzing” sobre aplicaciones web.

Objetivo:

Analizar el procesamiento de las peticiones (“request”) por parte de las aplicaciones web.

Funcionalidades:

Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).

Modo de ejecución: Activo.

Analizar el procesamiento de las peticiones (“request”) por parte de las aplicaciones web.

Proporciona técnicas de “fuzzing” configurables sobre las peticiones (“request”): métodos, parámetros y cabeceras. Proporciona “payloads” predefinidos que incluyen vulnerabilidades comunes como inyecciones de Cross-Site Scripting, LDAP, XML, por mencionar algunas

Reportes:
Resultados exportables: ✔

Archivo de configuración exportable (.jbrofuzz).
Archivos HTML con las peticiones realizadas para su análisis (número con base a los “payloads”).

Uso básico:

Realizar un “fuzzing” básico sobre una aplicación web. Inicie la aplicación y sobre el menú principal seleccione la opción de “FileOpen Location”.

Dentro de la ventana “Open URL location” configure el recurso que desea probar y presione el botón “Okay”.

Dónde:
URL: Dirección URL de la aplicación web.
Método para realizar la petición (GET, POST, HEAD).
Codificación a utilizar.
Versión de HTTP (1.0, 1.1, 1.2).

La aplicación generar una petición (request) con la información proporciona. Dentro de esta seleccione cualquier valor y presione clic derecho para verificar las opciones disponibles.

Seleccione la opción “Add”, la cual abrirá la ventana “Add Fuzzer” donde se encuentran las cadenas por defectos que pueden ser utilizadas que incluyen vulnerabilidades comunes como Cross Site Scripting y SQL Injection.

Seleccione la opción de “XSS101” y presione el botón de “Add Fuzz”.

Presione el botón de “Start” para comenzar con el “fuzzing” de la aplicación. Seleccione la pestaña “Output” la cual presentara los resultados de la prueba, dentro de los que se presentan:
Numero de petición.
Objetivo (URL).
Payload.
Payload codificado.
Código de respuesta.
Tiempo de respuesta.
Tamaño de respuesta.

Seleccionando cualquier resultado y dando clic derecho se presentan nuevas opciones, las cuales nos permiten analizar los resultados obtenidos.

Seleccione la opción “Open Containing Folder” la cual abrirá una nueva ventana de navegador con el listado de los peticiones realizadas para su análisis.

Los resultados fueron guardados de manera local en formato HTML para su fácil manejo; estos archivos incluyen el encabezado “jbrofuzz” que proporciona la información de la prueba realizada, como la URL utilizada, payload, por mencionar algunos.

Ejemplo de archivo.

HTTP/1.1 200 OK
Date: Mon, 00 Dec 0000 00:00:00 GMT
Logged-In-User:
Connection: close
Content-Type: text/html
…

<html>
<head>
<meta content="text/html; charset=us-ascii" http-equiv="content-type">

<link rel="shortcut icon" href="favicon.ico" type="image/x-icon" />
<link rel="stylesheet" type="text/css" href="./styles/global-styles.css" />
…

Referencias:

Liga: https://www.owasp.org/index.php/JBroFuzz
Autor (es): Ranulf Green
Contacto: http://sourceforge.net/projects/jbrofuzz/support
Licencia: Copyright 2010 subere@uncon.org
GNU GENERAL PUBLIC LICENSE Version 3