| Wsfuzzer. WSFUZZER è un strumento di test di penetrazione fuzzing utilizzato dai servizi Web basati su sapone HTTP. |
Scarica ora |
Wsfuzzer. Classifica e riepilogo
- Nome editore:
- Cosmin Banciu, David Shu and Andres Andreu
- Sito web dell'editore:
- https://www.owasp.org/index.php/Category:OWASP_WSFuzzer_Project
Wsfuzzer. Tag
Wsfuzzer. Descrizione
WsFuzzer è uno strumento di test di penetrazione fuzzing utilizzato contro i servizi Web basati su sapone HTTP. WsFuzzer è uno strumento di test di penetrazione fuzzing utilizzato contro i servizi Web basati su sapone HTTP. È un programma con licenza GPL, scritto in Python, che attualmente mira ai servizi Web. Nella versione corrente I servizi saponi basati su HTTP sono il bersaglio principale. Questo strumento è stato creato in base a, e per automatizzare, alcuni lavori di test della penna di sapone manuale del mondo reale. Questo strumento non è destinato a essere una sostituzione per l'analisi umana manuale solida. Si prega di visualizzare WsFuzzer come strumento per aumentare l'analisi eseguita da professionisti competenti e ben informati. I servizi Web non sono banale in natura, quindi le competenze in questo settore è un must per il test della penna adeguata.Goals: · Per automatizzare alcuni dei processi di sfocatura di sapone più intensi che sarebbero abbastanza richiedenti se eseguiti manualmente · per eseguire la generazione di vettore di attacco in a Moda dinamica e intelligente basata sull'obiettivo specifico · fornendo le sue funzionalità / conseguenti dati ad altri strumenti in modo perfetto · per facilitare l'uso ripetibile dei vettori di attacco riusciti conosciuti, in particolare contro obiettivi specifici · per far parte di un solido test delle penne applicazioni web Toolkit · Essere facili da usare all'interno dello spettro della comprensione e lavorare con, Soap ServicesIt non è l'obiettivo di WSFuzzer per sostituire l'analisi umana. Aamof Wsfuzzer non fa attualmente alcuna analisi dei risultati raccolti. Il compito dell'analisi è lasciato all'analista / ingegnere che esegue un determinato test penny.Questo strumento è in definitiva inteso per aumentare un lavoro di tester di penne in relazione ai servizi di sapone. Ciò sono alcune caratteristiche chiave di "WSFUZZER": · Test della penna un sapone http Servizio Web in base a WSDL valido, con un buon carico utile XML valido o uno spazio di endpoint e nomi valido. · Può provare a rilevare in modo intelligente WSDL per un determinato bersaglio. · Include un semplice scanner di porta TCP. · WSFUZZER ha la capacità di metodi di Fuzz con Parametri multipli Ci sono 2 modalità di attacco / fuzzing: "individuale" e "simultanea". Ogni parametro viene gestito come entità unica (modalità individuale) e può essere attaccata o lasciata da sola o più parametri vengono attaccati simultaneamente (da qui il nome - modalità simultanea) con un determinato set di dati. · La generazione di Fuzz (stringhe di attacco ) Consiste in una combinazione di un file dizionario, alcuni modelli di iniezione ampi dinamici opzionali e alcuni attacchi specifici del metodo opzionale, tra cui la generazione automatica dell'attacco XXE e WSSSSE. · Lo strumento fornisce anche la possibilità di utilizzare alcune tecniche di evasione IDS che rende una potente sicurezza Esperienza di test dell'infrastruttura (IDS / IPS). · Una misurazione del tempo di ogni round trip tra la richiesta e la risposta è ora fornita a potenzialmente aiutare nell'analisi dei risultati. · Per qualsiasi dato programma eseguito i vettori di attacco generati vengono salvati su un file XML. Il file XML è denominato XXX e si trova nella stessa directory in cui viene salvato il file HTML dei risultati. Un file XML precedentemente generato di vettori di attacco può essere utilizzato al posto del dizionario / combo automatizzato. Questo è per la ripetibilità quando gli stessi vettori devono essere utilizzati più e più volte. Che cosa è nuovo in questa versione: · Tonica giù alcuni dei processi di generazione vettoriale di Attack casuali in modo da migliorare le prestazioni del tempo di esecuzione del PROG. · Aggiunta supporto per Documento / sapone letterale Sapone da inviare tramite l'opzione --xml. · Aggiunto il codice per verificare la disponibilità dell'host al più presto possibile. PROG muore se host non disponibile. · Aggiunto il codice per salvare automaticamente (in file locali) Tutti i vettori di attacco generati per una determinata corsa. Il file è in un semplice formato XML. · Aggiunta una funzione per utilizzare i vettori di attacco salvati dal file XML al contrario della generazione dinamica dei vettori di attacco. Questa opzione viene richiamata con l'interruttore "--attacks =". · Aggiunte altre opzioni nel modello di configurazione del file in modo che quando si utilizzano meno aspetti interattivi venga esercitati.
Wsfuzzer. Software correlato