Webfight – automatizando a análise passiva de aplicações web (via @welias)

logo Clavis Auditoria Web

Wagner Elias, consultor em Segurança da Informação, publicou em seu blog Think Security First um post sobre a ferramenta WebFight, criada pelo mesmo e lançada no evento OWASP AppSec Latam.

Segundo Elias, o WebFight “nasceu da necessidade de lidar com um número grande de informações que uma aplicação web pode gerar”. A idéia foi criar uma ferramenta que automatizasse a análise geral de logs de proxy, ganhando mais tempo para analisar outros detalhes mais específicos.

A ferramenta pode ser extendida com a criação de módulos, mas já tem implementada algumas análises, por exemplo:

  • Apresenta todas as requisições e seus parâmetros para que sejam realizados testes fuzzing e de validação de dados
  • Apresenta todos os status codes, possibilitando identificar erros 500; Redirects 30x; Conteúdo estático 0
  • Apresenta as requisições fora do escopo da análise para identificar integrações, ou requests a outros domínios
  • Realiza um fingerprint a partir da análise de headers e informações da aplicação
  • Apresenta todos os cookies de sessão e a existência de cookies de sessão passados como parâmetro em requisições GET
  • Faz grep e identifica objetos DOM (password; hidden; file upload; iframe; etc…)
  • Apresenta todos os comentários em client-side (HTML e javascript)
  • Entre outras.

Elias publicou também um video de demonstração do WebFight:

Para mais detalhes e download do WebFight, visite a página da ferramenta.