Andreas Schmidt - siberas - WATOBO - The Web Application Toolbox
Jul 19, 2011 von rubcast
WATOBO - The Web Application Toolbox:
Die manuelle Penetration von WebApplikationen ist sehr zeitaufwendig und kann teilweise auch langweilig oder gar frustrierend sein. Auf der anderen Seite weiss man beim Einsatz von automatisierten Werkzeugen nicht so recht wie und was bzw. was nicht geprüft wurde.
Beide Ansätze haben ihre Vor- und Nachteile. Allerdings ist die Auswahl an Werkzeugen, die beide Welten vereinen sehr begrenzt. In dieser Präsentation wird das Werkzeug WATOBO (Web Application Toolbox) vorgestellt, welches beide Ansätze verbindet. WATOBO funktioniert wie ein lokaler Proxy und analysiert den Verkehr bereits 'on the fly'. Dabei werden schon bei der "Begehung" einer Applikation hilfreiche Informationen extrahiert und erste Schwachstellen identifiziert. Darüber hinaus besitzt WATOBO automatisierte Tests, wie beispielsweise zur Erkennung von SQL-Injection-, XSS-Schwachstellen und vielen mehr.
Zur Zeit ist es das einzige Open-Source-Werkzeug, welches ein ausgeklügeltes Session-Management unterstützt. WATOBO ist in (FX)Ruby entwickelt und unterstützt die gängigsten Betriebssysteme, wie Windows, Linux und Mac OS. WATOBO wurde im Mai 2010 als Open-Source-Projekt veröffentlicht (http://watobo.sourceforge.net).
Die Präsentation gibt einen Überblick über das Design von WATOBO, die Funktionsweise sowie die Erweiterungsmöglichkeiten. Abgerundet wird die Präsentation durch eine kurze Demonstration.
Gepostet in RUBcast Public
Tags : Praktikum zur Hackertechnik