Wapiti, W3af und Arachni

Web Application Security mit Open Source

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit Hilfe von drei praktischen Open-Source-Tools können Admins Webanwendungen sicherer zur Verfügung stellen.
Mit Hilfe von drei praktischen Open-Source-Tools können Admins Webanwendungen sicherer zur Verfügung stellen. (© Sergey Nivens - stock.adobe.com)

Mit den drei Open Source-Tools Wapiti, W3af und Arachni lässt sich die Sicherheit von Webanwendungen überprüfen und verbessern. Die drei Tools stehen kostenlos zur Verfügung und bieten unterschiedliche Funktionen.

In diesem Beitrag zeigen wir die Möglichkeiten der drei Sicherheits-Tools Wapiti web-application vulnerability scanner, W3af - Web Application Attack and Audit Framework und Arachni Web application security scanner framework. Alle drei Tools helfen dabei Webanwendungen sicherer zur Verfügung zu stellen. Die drei Tools werden auf einem Linux-Rechner installiert, oder lassen sich über die Sicherheits-Live-DVD Kali nutzen.

Wapiti web-application vulnerability scanner

Waipiti kann Angriffe und Schwachstellen von Webanwendungen testen, bevor diese über das Internet zur Verfügung gestellt werden. Es ist schwer für Entwickler Sicherheitslücken ohne Tools zu erkennen. Über Anwendungen wie Wapiti wir dagegen schnell erkannt gegenüber welchen Angreifern eine Webanwendung anfällig ist.

Es handelt sich bei Wapiti um eine einfache Befehlszeilenanwendung, mit der die Webseiten der Webanwendung auf Sicherheitslücken überprüft werden kann. Das Tool untersucht also nicht den Quellcode, sondern analysiert den Betrieb der Webanwendung. Im Fokus von Wapiti steht das Entdecken von folgenden Angriffen:

  • Offenlegung von Dateien (Lokale und entfernte Includes/Anforderungen und andere Aufgaben)
  • Datenbankinjektion (PHP/JSP/ASP und mehr)
  • XSS (Cross Site Scripting)
  • SSL-Zertifikatsverifizierung.

Es werden aber auch andere Angriffe untersucht und die Schwachpunkte der Webanwendung angezeigt. Das Tool kann einen Bericht erstellen, der die verschiedenen Schwachstellen der Anwendung enthält. Dabei kann es sich um eine HTML-Seite oder eine XML-Datei handeln. Auch JSON-Dateien und Textdokumente können als Bericht erstellt werden.

Wapiti benötigt Python 2.x und python-requests v1.2.3 oder neuer auch BeautifulSoup wird benötigt. Nach der Installation von Wapiti besteht der einfachste Weg einen Scan auszuführen darin den folgenden Befehl einzugeben: wapiti -u <URL>. Eine ausführliche Liste aller Optionen ist auf der Seite des Projektes in der Hilfe zu finden.

W3af - Web Application Attack and Audit Framework

Das Sicherheitstool “W3af - Web Application Attack and Audit Framework” findet ebenfalls Sicherheitslücken in Webanwendungen. Das Tool ist auch auf der bekannten Kali-DVD vertreten. W3af kann auch in macOS installiert werden. Die Vorgehensweise dazu beschreiben die Entwickler auf ihrer Webseite. Wer eine Microservices-Umgebung mit Containern betreibt kann W3af auch in Docker als Container installieren.

Im Gegensatz zu Wapiti verfügt W3af auch über eine grafische Oberfläche, kann aber auch in der Befehlszeile genutzt werden. Das Tool wird mit Plugins erweitert, mit denen die einzelnen Webangriffe durchgeführt werden, mit der die entsprechende Anwendung getestet werden soll. Auch W3af benötigt Python. Die Installation wird in der Dokumentation umfassend beschrieben.

Die Verwaltungskonsole von W3af wird mit „w3af_console gestartet“. Danach steht das Tool zur Verfügung. Mit dem Befehl „help“ kann in der Konsole eine Hilfe angezeigt werden, wie W3af genutzt werden kann. Alle Funktionen und Möglichkeiten des Tools sind auf der Hilfe-Seite zu finden.

w3af>>> help
|------------------------------------------------------------------|
|  start         |  Start the scan.                                |
|  plugins       |  Enable and configure plugins.                  |
|  exploit       |  Exploit the vulnerability.                     |
|  profiles      |  List and use scan profiles.                    |
|  cleanup       |  Cleanup before starting a new scan.            |
|------------------------------------------------------------------|
|  help          |  Display help. Issuing: help [command] , prints |
|                |  more specific help about "command"             |
|  version       |  Show w3af version information.                 |
|  keys          |  Display key shortcuts.                         |
|------------------------------------------------------------------|
|  http-settings |  Configure the HTTP settings of the framework.  |
|  misc-settings |  Configure w3af misc settings.                  |
|  target        |  Configure the target URL.                      |
|------------------------------------------------------------------|
|  back          |  Go to the previous menu.                       |
|  exit          |  Exit w3af.                                     |
|------------------------------------------------------------------|
|  kb            |  Browse the vulnerabilities stored in the       |
|                |  Knowledge Base                                 | 
|------------------------------------------------------------------|
w3af>>>
w3af>>> help target
Configure the target URL.
w3af>>>

Arachni Web application security scanner framework

Arachni Web application security scanner framework steht für Linux, Windows und macOS zur Verfügung. Wie die anderen Tools in diesem Beitrag kann Arachni auch in Kali eingebunden werden, lässt sich aber problemlos auch in Windows 10 betreiben. Interessant ist in diesem Bereich natürlich auch, dass Kali über das Windows Subsystem für Linux (WSL) auch direkt in Windows 10 integriert werden kann. Das ist natürlich dann sinnvoll, wenn von einer Arbeitsstation aus häufiger Webanwendungen auf Sicherheitslücken hin überprüft werden sollen.

Wer in Windows 10 mit Arachni arbeiten will braucht natürlich kein Kali, sondern kann das Tool direkt herunterladen und extrahieren. Danach befindet sich im Verzeichnis „bin“ die Batchdatei „arachni_web.bat“. Die Datei muss über das Kontextmenü mit Administratorrechten gestartet werden. Danach kann das Tool über sein Webinterface verwaltet werden. Die Adresse und der Port werden in der Befehlszeile angezeigt. In den meisten Fällen wird das Webinterface mit http://localhost:9292 geöffnet. Der standardmäßige Benutzer ist admin@admin.admin. Das Kennwort für den Benutzer lautet „administrator“. Danach steht die Weboberfläche zur Verfügung.

Nach dem Start kann mit „Scans\New“ ein neuer Scanvorgang in Windows gestartet werden. Auf dem gleichen Web funktioniert das auch in Linux und macOS. Zusätzlich kann hier auch ein Scanvorgang geplant werden. Teilweise erscheinen Warnungen, dass der Zugriff über die Firewall erst gestattet werden muss. Danach scannt das Tool den entsprechenden Webserver und zeigt das Ergebnis und die erforderlichen Maßnahmen auch gleich im Fenster an.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46122673 / Mobile- und Web-Apps)