Marco que intenta unir herramientas de test de penetración de: guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST
OWASP OWTF es un proyecto centrado en la eficiencia de las pruebas de penetración y la alineación de las pruebas de seguridad con los estándares de seguridad como: la guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST para que los pentesters tengan más tiempo para:
- Ver el panorama general y pensar fuera de la caja
- Encontrar, verificar y combinar vulnerabilidades de manera más eficiente
- Tener mas tiempo tiempo para investigar vulnerabilidades complejas como la lógica empresarial, fallas arquitectónicas o sesiones de alojamiento virtual
- Realizar un fuzzing más táctico y dirigido en áreas mas sensibles
- Demostrar un verdadero impacto a pesar de los cortos períodos de tiempo que normalmente se dan para probar vulenrabilidades.
La herramienta es altamente configurable y cualquiera puede crear complementos simples o agregar nuevas pruebas en los archivos de configuración sin tener experiencia en desarrollo.
Sin embargo, esta herramienta no es la panacea y solo será tan buena como la persona que la use, se requerirá comprensión y experiencia para interpretar correctamente el resultado de la herramienta y decidir qué investigar más a fondo para demostrar el impacto.
Características:
- Resiliencia : si una herramienta falla , OWTF , pasará a la siguiente herramienta/prueba, guardando la salida parcial de la herramienta hasta que se bloquee.
- Flexible : pausa y reanuda tu trabajo.
- Separación de pruebas : OWTF separa su tráfico hacia el destino en principalmente 3 tipos de complementos:
- Pasivo : no hay tráfico que se dirija al objetivo.
- Semi pasivo : tráfico normal al objetivo
- Activo : sondeo directo de vulnerabilidades
- API REST extensa.
- Tiene una guía de pruebas OWASP casi completa (v3, v4), cobertura Top 10, NIST, CWE.
- Interfaz web : gestione fácilmente las interacciones de gran penetración.
- Informe interactivo :
- Clasificaciones automatizadas de complementos a partir de la salida de la herramienta, totalmente configurables por el usuario.
- Clasificaciones de riesgo configurables
- Editor de notas en línea para cada complemento.
Más información y descarga de Offensive Web Testing Framework (OWTF):