Авторские статьи w3af - Web Application Attack and Audit Framework

Discussion in 'Статьи' started by iv., 4 May 2009.

  1. Spacelove

    Spacelove New Member

    Joined:
    21 Feb 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    КАким образом может Питон не адаптированным к висте?)Народ у кого на висте работала данная программа w3af???
     
  2. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    что можно было напихать в энтот сканер, на 400 метров ?
     
  3. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    Если ты, как говоришь, всё правильно сделал, то я могу сделать только такое заключение. Ибо w3af через интерпретатор питона работает.
    Это в какой ОС такое? У меня на никсах 69мб в распакованном виде.
     
    1 person likes this.
  4. Spacelove

    Spacelove New Member

    Joined:
    21 Feb 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    То что w3af работает через Питон это понятно, не понятно почему выдаёт ошибку.
    Сделал еще скрин

    [​IMG]
     
  5. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    я идиот )
    вместо проги (shorty) релиза, скачал образ vmware с предустановленными модулями и самим сканнером внутри ) это пиздец )
     
    1 person likes this.
  6. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    Имя пользователя криво передается. Русскими буквами назвался? Ну пробуй теперь проделать всё это из-под английского. =)
     
    1 person likes this.
  7. Spacelove

    Spacelove New Member

    Joined:
    21 Feb 2009
    Messages:
    12
    Likes Received:
    3
    Reputations:
    0
    Не понял что мне тепреь делать?
     
    1 person likes this.
  8. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    Из-под английского %username% повторить действия.
     
    1 person likes this.
  9. login999

    login999 Elder - Старейшина

    Joined:
    12 Jun 2008
    Messages:
    491
    Likes Received:
    280
    Reputations:
    92
    Не-а не совсем :) сделай так чтоб в пути к запускаемому файлу не было папок с русскими именами(можно поставить в корень локального диска).
    Еще как вариант можно поставить Python 2.6, найти где в этом чуде есть такая строчка os.getcwd() и заменить ее на os.getcwdu() -должно помочь тоже :)

    iv.. +20 за цацку :) По свободе потыкаю :)
     
  10. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    Причем здесь "запускаемый файл"? Он же на конфигурационный файл ругается, путь к которому от имени пользователя зависит. А где изменить путь к нему - я не нашел.
    Сложно =)
     
  11. login999

    login999 Elder - Старейшина

    Joined:
    12 Jun 2008
    Messages:
    491
    Likes Received:
    280
    Reputations:
    92
    Инсталляции скриптов не существует в природе, нехер ему чего-то прописывать в папку юзера - ему там ничего не нужно, ВСЕ скрипты которые я видел брали конфиги и всю другую инфу из своей папки, максимум подпапки. Поэтому я пришел к выводу что чел запускает софт из папки юзверя :) В принципе я не исключаю что ребята из Bonsai извращенцы, и скрипт сдирает конфиги из папки юзера.
    P.S> Насчет Висты - когда в своих блужданиях натыкался как хаяли Питон на Висте с каким-то багом, что за баг и когда его выловили я не помню, просто помню что было что-то такое

    Кажись нашел где туплеж :)

    Тыгс, файлег w3af/core/controllers/misc/homeDir.py
    Code:
    ...
    def get_home_dir():
        '''
        @return: The location of the w3af directory inside the home directory of the current user.
        '''
        home_path = user.home + os.path.sep + '.w3af'
        return home_path
    ...
    
    Заменить на
    Code:
    ...
    def get_home_dir():
        '''
        @return: The location of the w3af directory inside the home directory of the current user.
        '''
        home_path = "C:\w3af\temp_dir\"#Еще можно попробовать заменить на os.getcwd() + os.path.sep + 'temp_files'- с 2.5 Питоном не работал, не знаю как он себя поведет, по идее домашняя папка скрипта будет в нем самом, а не в папке юзера какого-то хрена
        return home_path
    ...
    
    .iv , мои извинения я не знаю какому укуренному наркоману пришла в голову такая хня - писать какое-то файло в папку юзера
     
    #31 login999, 26 May 2009
    Last edited: 26 May 2009
    1 person likes this.
  12. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
    почему нет? под никсы скорее всего расчет был.
     
  13. iv.

    iv. Elder - Старейшина

    Joined:
    21 Mar 2007
    Messages:
    1,183
    Likes Received:
    438
    Reputations:
    107
  14. AKYLA

    AKYLA Elder - Старейшина

    Joined:
    29 Nov 2007
    Messages:
    108
    Likes Received:
    35
    Reputations:
    6
    Пробовал тулсу, вот только проблема возникает при использовании webSpider, как бы не совсем проблема, просто он просто напросто не обходит по ссылкам сайт...фактически все тесты только на первой странице, то ли я чет не так делаю...хотя уже перечитал Факи...или так и должно быть...если в тупую всунуть ссылку, тогда он проверяет, а так нет. А больше адекватных обходчиков я там не нашел, все что с гуглом связанно, надо API Key, но он его не хавает почему-то и пишет что Bad.
    Еще интересует может ли он как-то делать обход Javascript ссылок, или только прямые?

    P.S. Уже понял, надо юзать spiderMan.
    А вообще впечатления о проге довольно хорошие, много в себе совмещает полезных фитч, главное правильно их использовать и не все в автомате, тогда будет довольно хороший эффект.
    Удобно пользоваться ею в BackTrak'e
     
    #34 AKYLA, 2 Jul 2009
    Last edited: 3 Jul 2009
  15. Gidz

    Gidz New Member

    Joined:
    10 Aug 2009
    Messages:
    29
    Likes Received:
    4
    Reputations:
    0
    после запуска сканированя в графическом режиме, в логах пишутся такие ошибки
    Code:
    [Sun 16 Aug 2009 02:09:02 PM EDT] Auto-enabling plugin: grep.error500
    [Sun 16 Aug 2009 02:10:12 PM EDT] An unhandled exception was found while finding forms inside a document. The exception is: "string index out of range"
    [Sun 16 Aug 2009 02:10:12 PM EDT] Error traceback: Traceback (most recent call last):
      File "/usr/share/w3af/core/data/parsers/sgmlParser.py", line 156, in unknown_starttag
        self._findForms(tag, attrs)
      File "/usr/share/w3af/core/data/parsers/htmlParser.py", line 99, in _findForms
        self._handle_form_tag(tag, attrs)
      File "/usr/share/w3af/core/data/parsers/htmlParser.py", line 146, in _handle_form_tag
        action = urlParser.urlJoin( self._baseUrl, decoded_action )
      File "/usr/share/w3af/core/data/parsers/urlParser.py", line 170, in urlJoin
        elif relative[0] == '?':
    IndexError: string index out of range
    
    [Sun 16 Aug 2009 02:10:12 PM EDT] An unhandled exception was found while finding forms inside a document. The exception is: "string index out of range"
    [Sun 16 Aug 2009 02:10:12 PM EDT] Error traceback: Traceback (most recent call last):
      File "/usr/share/w3af/core/data/parsers/sgmlParser.py", line 156, in unknown_starttag
        self._findForms(tag, attrs)
      File "/usr/share/w3af/core/data/parsers/htmlParser.py", line 99, in _findForms
        self._handle_form_tag(tag, attrs)
      File "/usr/share/w3af/core/data/parsers/htmlParser.py", line 146, in _handle_form_tag
        action = urlParser.urlJoin( self._baseUrl, decoded_action )
      File "/usr/share/w3af/core/data/parsers/urlParser.py", line 170, in urlJoin
        elif relative[0] == '?':
    IndexError: string index out of range
    никто не знает из-за чего они появляются и как исправить??
     
  16. pento

    pento Elder - Старейшина

    Joined:
    3 Jul 2006
    Messages:
    126
    Likes Received:
    24
    Reputations:
    -1
    Если можно, то:
    - ОС, версия питона
    - при каких условиях бага повторяется
    - бага свойственна только граф. режиму?
    - страница, на которой такое вылазит.

    А багу поправим конечно.
     
  17. Cmucl

    Cmucl Member

    Joined:
    21 Jun 2008
    Messages:
    12
    Likes Received:
    8
    Reputations:
    0
    Кто скажет как юзать кукисы?
    the cookiejarfile must be in mozilla format. Короче говоря покажите пример файла подключаемого через настройки - этого самого cookieJarFile.
     
  18. Qws

    Qws Elder - Старейшина

    Joined:
    17 Jun 2008
    Messages:
    46
    Likes Received:
    57
    Reputations:
    5
    Что то у меня не запускается...жму w3af_gui.bat появляется картинка орла вместе с консолью,и через 2 секунди пропадает :(Что делать?
     
  19. Sergey1974

    Sergey1974 New Member

    Joined:
    14 Mar 2010
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Не запускается под XP SP3... Появляется заставка и все. Под убунтой работает, но надо под виндой запустить. Ставил питон 2.6.4 - ругается, 2.5.4 - устанавливается но не запускается, ошибок не выдает.
     
  20. M@ZAX@KEP

    M@ZAX@KEP Member

    Joined:
    11 Jun 2009
    Messages:
    83
    Likes Received:
    23
    Reputations:
    0
    А вот допустим, без авторизации доступ к почти всем страницам сайта закрыт, что тогда делать, как авторизовать w3af на сайте (допустим, аккаунт есть), чтобы он мог нормально просканировать все директории?