Herramienta para realizar técnicas de fuzzing automatizadas a aplicaciones Web.
|
La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…
Powerfuzzer es un fuzzer Web automatizado y totalmente personalizable realizado en base a muchas otros fuzzers dispoibles de codigo abierto (Cfuzzer, fuzzled, fuzzer.pl, JBroFuzz, WebScarab, wapiti y Socket Fuzzer) y la información obtenida de numerosos recursos de seguridad y sitios web.
Actualmente, es capaz de identificar estos problemas:
- Cross Site Scripting (XSS).
- Inyecciones (SQL, LDAP, código, comandos y XPATH).
- CRLF.
- HTTP 500 estados (Suele ser indicativo de un posible defecto mala configuración de seguridad incluido buffer overflow).
Diseñado para ser modular y ampliable. Es una herramienta potente y fácil de usar, que se pueden lanzar en cualquier entorno al ser multiplataforma.
Es ideal para auditorias caja negra, que se realizan desde fuera y ofrecen la visión de un atacante. No se estudia el código fuente de la aplicación, se analiza las páginas web de la aplicación desplegada, en busca de scripts y formularios en los que se puede inyectar datos. Este tipo de auditoría suele reportar mas falsos positivos.
Más información y descarga de Powerfuzzer:
http://www.powerfuzzer.com
Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing:
http://www.gurudelainformatica.es/2009/05/detectar-vulnerabilidades-en.html