Menu

Mantra-es




Mantra

Fase(s):

Principal: Descubrimiento.
Secundaria: Explotación.

Descripción:

Es una herramienta, basada/integrada en un navegador Web, que ayuda a realizar análisis en busca de vulnerabilidad a una aplicación Web. Incluye y agrupa distintas herramientas útiles para analizar, identificar y explorar vulnerabilidades en un aplicativo.

Objetivo:

  • Identificar vulnerabilidades en una aplicación Web.
  • Explotar vulnerabilidades identificadas.
  • Obtener firmas del servidor Web que aloja al aplicativo.
  • Obtener firmas de las tecnologías con las que se desarrolló la aplicación Web.

Funcionalidades:

Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).

Modo de ejecución: Pasivo/Activo.

  • Proxy para realizar el análisis de las peticiones (HTTP) que se realizan a la aplicación Web.
  • Configuración y administración de múltiples Proxy personalizados.
  • Manipular la cabecera HTTP User Agent, que es enviada en una petición al servidor de aplicaciones.
  • Codificación de caracteres que se envían a las aplicaciones Web.
  • Barra de herramientas para desarrolladores (Web Developer) con varias funcionalidades como son: mostrar campos ocultos; quitar restricciones; por ejemplo eliminar el número máximo de caracteres a introducir en un campo de formulario; mostrar información detallada de cookies, etcétera..
  • Administración de bases de datos SQLite locales.
  • Visualizar, crear y editar cookies.
  • Proxy ligero (Live Headers) para visualizar y repetir peticiones Web.
  • Plantillas para visualizar múltiples pestañas en una sola página.
  • Consola de errores de javascript.
  • Inspeccionar los componentes de una página Web.
  • Aplicaciones de tipo stand alone para protocolos FTP y SSH.
  • Cliente SOA para interactuar con servicios Web.
  • Detección de vulnerabilidades de tipo SQL Injection y Cross Site Script.

Reportes:
Resultados exportables: X

Uso básico:

Realizar un análisis pasivo de las peticiones que se hacen a una aplicación Web por medio de un proxy. Iniciar OWASP Mantra y escribir en la barra de direcciones la URL de la aplicación Web.


image

Abrir la herramienta HttpFox, en el menú tools, e iniciar captura de peticiones HTTP.


image

Navegar por la aplicación Web para que la herramienta proxy capture todas las peticiones que se generan y poder realizar un análisis de ellas.


image


image

La herramienta proxy contiene las peticiones que realiza el navegador a la aplicación Web, se puede seleccionar cualquiera y revisar la petición y respuesta HTTP.


image


image

La información de cada petición, que obtiene la herramienta proxy se encuentran, las siguientes:

  • Headers.
  • QueryString o PostData con parámetros y valores utilizados.
  • Método HTTP utilizado.
  • Cookies.

Referencias:

Liga: http://www.getmantra.com/
Autor (es): Abhi M BalaKrishnan
Contacto: contact [at] getmantra.com
Licencia: GPL v3