En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramienta para realizar técnicas de fuzzing automatizadas a aplicaciones Web.

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Powerfuzzer es un fuzzer Web automatizado y totalmente personalizable realizado en base a muchas otros fuzzers dispoibles de codigo abierto (Cfuzzer, fuzzled, fuzzer.pl, JBroFuzz, WebScarab, wapiti y Socket Fuzzer) y la información obtenida de numerosos recursos de seguridad y sitios web.

Actualmente, es capaz de identificar estos problemas:


  • Cross Site Scripting (XSS).
  • Inyecciones (SQL, LDAP, código, comandos y XPATH).
  • CRLF.
  • HTTP 500 estados (Suele ser indicativo de un posible defecto mala configuración de seguridad incluido buffer overflow).

Diseñado para ser modular y ampliable. Es una herramienta potente y fácil de usar, que se pueden lanzar en cualquier entorno al ser multiplataforma.

Es ideal para auditorias caja negra, que se realizan desde fuera y ofrecen la visión de un atacante. No se estudia el código fuente de la aplicación, se analiza las páginas web de la aplicación desplegada, en busca de scripts y formularios en los que se puede inyectar datos. Este tipo de auditoría suele reportar mas falsos positivos.

Más información y descarga de Powerfuzzer:
http://www.powerfuzzer.com


Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing:
http://www.gurudelainformatica.es/2009/05/detectar-vulnerabilidades-en.html
Herramienta para realizar técnicas de fuzzing automatizadas a aplicaciones Web. Herramienta para realizar técnicas de fuzzing automatizadas a aplicaciones Web. Reviewed by Álvaro Paz on miércoles, septiembre 02, 2015 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.