Herramienta para realizar técnicas de fuzzing automatizadas a aplicaciones Web.

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Powerfuzzer es un fuzzer Web automatizado y totalmente personalizable realizado en base a muchas otros fuzzers dispoibles de codigo abierto (Cfuzzer, fuzzled, fuzzer.pl, JBroFuzz, WebScarab, wapiti y Socket Fuzzer) y la información obtenida de numerosos recursos de seguridad y sitios web.

Actualmente, es capaz de identificar estos problemas:

  • Cross Site Scripting (XSS).
  • Inyecciones (SQL, LDAP, código, comandos y XPATH).
  • CRLF.
  • HTTP 500 estados (Suele ser indicativo de un posible defecto mala configuración de seguridad incluido buffer overflow).

Diseñado para ser modular y ampliable. Es una herramienta potente y fácil de usar, que se pueden lanzar en cualquier entorno al ser multiplataforma.

Es ideal para auditorias caja negra, que se realizan desde fuera y ofrecen la visión de un atacante. No se estudia el código fuente de la aplicación, se analiza las páginas web de la aplicación desplegada, en busca de scripts y formularios en los que se puede inyectar datos. Este tipo de auditoría suele reportar mas falsos positivos.

Más información y descarga de Powerfuzzer:
http://www.powerfuzzer.com

Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing:
http://www.gurudelainformatica.es/2009/05/detectar-vulnerabilidades-en.html

Deja un comentario