Wagner Elias, consultor em Segurança da Informação, publicou em seu blog Think Security First um post sobre a ferramenta WebFight, criada pelo mesmo e lançada no evento OWASP AppSec Latam.
Segundo Elias, o WebFight “nasceu da necessidade de lidar com um número grande de informações que uma aplicação web pode gerar”. A idéia foi criar uma ferramenta que automatizasse a análise geral de logs de proxy, ganhando mais tempo para analisar outros detalhes mais específicos.
A ferramenta pode ser extendida com a criação de módulos, mas já tem implementada algumas análises, por exemplo:
- Apresenta todas as requisições e seus parâmetros para que sejam realizados testes fuzzing e de validação de dados
- Apresenta todos os status codes, possibilitando identificar erros 500; Redirects 30x; Conteúdo estático 0
- Apresenta as requisições fora do escopo da análise para identificar integrações, ou requests a outros domínios
- Realiza um fingerprint a partir da análise de headers e informações da aplicação
- Apresenta todos os cookies de sessão e a existência de cookies de sessão passados como parâmetro em requisições GET
- Faz grep e identifica objetos DOM (password; hidden; file upload; iframe; etc…)
- Apresenta todos os comentários em client-side (HTML e javascript)
- Entre outras.
Elias publicou também um video de demonstração do WebFight:
Para mais detalhes e download do WebFight, visite a página da ferramenta.