Maguey Wiki

Maguey Application Testing Framework ™

Brought to you by: maguey

WebSlayer-es

Regresar English

WebSlayer

Fase(s):

Principal: Explotación.
Secundaria: N/A.

Descripción:

Es una herramienta que utiliza las técnicas de “fuerza bruta” con en combinación con Fuzzing. Facilita realizar explotación por fuerza bruta de uno o varios parámetros de los métodos GET y POST y también de las cabeceras que se envían en las peticiones HTTP.

Objetivo:

Explotar vulnerabilidades de aplicaciones Web utilizando la técnica Fuzzing.

Funcionalidades:

Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).

Modo de ejecución: Activo.

Explotar vulnerabilidades de aplicaciones Web utilizando la técnica Fuzzing.

Soporta autenticación de tipo básica y NTML.
Ofrece 15 tipos codificaciones.
Manejo de sesiones.
Módulo con las siguientes opciones para generar payloads:
- Expresiones regulares.
- Rango de palabras.
- Permutación de caracteres.
- Nombre de inicio de sesión a partir de nombres de personas.
- Número de tarjetas de crédito.
Posibilidad de aplicar Fuzzing a dos parámetros con diferentes listas de palabras.

Reportes:
Resultados exportables: X

Uso básico:

Realizar un ataque de fuerza bruta para obtener contraseña de usuario. Iniciar WebSlayer desde el menú de aplicaciones y proporcionar la siguiente información.

URL de la página de login de la aplicación.
Cabeceras HTTP de la petición que se enviará a la aplicación Web.
Parámetros que serán enviados por método GET/POST.
Lista de contraseñas a utilizar.

Para identificar el parámetro que será objeto de la prueba, se le asigna el identificador FUZZ, o FUZ2Z en caso de ser dos parámetros a probar.

Una vez que se proporcionan los datos requeridos, presione el botón Start attack que iniciará el ataque de fuerza bruta. En la barra des estatus de la pestaña Attack results se mostrará el progreso de las palabras que han sido probadas y las que restan por usar.

Cuando la ejecución de la prueba termina se mostrará en la barra inferior el mensaje Attack finished OK.

El detalle de los resultados obtenidos se mostrará por cada palabra de la lista de palabras. En los resultados se identifica el cambio de URL con aquella combinación de credenciales válidas, lo que indica fue posible acceder al aplicativo.

En la pestaña Logs la herramienta proporciona información acerca del ataque realizado: hora de inicio y fin, lista de palabras utilizada, URL atacada, entre otra información.

Referencias:

Liga: https://www.owasp.org/index.php/Category:OWASP_Webslayer_Project
Autor (es): Christian Martorella
Contacto: owasp-Webslayer-project [at] lists.owasp.org
Licencia: GPL v 2.0.