mercoledì 7 luglio 2010

Wfuzz, brute forcer su linux, tool scritto in python

Oggi per la prima volta abbiamo trovato e provato un brute forcer per applicazioni web. Il tool in questione si chiama Wfuzz. Esso vi permette di testare le vostre applicazioni web eseguendo attacchi a dizionario mirati su url o direttamente su POST o GET. È possibile scaricare il tool direttamente dal sito ufficiale:
http://www.edge-security.com/wfuzz.php

L'unico requisito necessario è installare pycurl.
Per utenti debian e derivate è sufficiente installarle con un bel:
sudo apt-get install python-pycurl

Nel sito ufficiale sono presenti alcuni esempi che vi permettono di capire il funzionamento di wfuzz. Se volete imparare a usarlo bene ricordatevi che esiste il comodissimo comando (elenco di tutti i parametri):
./wfuzz --help

Noi di Spray Linux abbiamo testato wfuzz andando a cercare tutti i domini di blogspot protetti da password o blog inappropriati con dizionario contenente parole italiane.
./wfuzz.py -c -z file -f italian  --hc 200,XXX,404 --html  http://FUZZ.blogspot.com 2> test.html

È possibile trovare alcuni dizionari in:
/usr/share/dict

Illustriamo alcuni parametri che abbiamo passato a wfuzz:
-c specifica che vogliamo un output a colori
-z file specifica che il dizionario è un file
--hc 200,XXX,404 dice a wfuzz di non stampare le risposte con codice di 200,XXX,404
--html dice a wfuzz di restituire  un file html (che opportunamente salviamo con 2> test.html)
l'url con il testo FUZZ indica a wfuzz di sostituire quel termine con ogni singola linea contenuta nel dizionario

Ovviamente è possibile sbizzarrirsi facendo brute force su form per autenticarsi e tanto altro.
Non mi resta che augurarvi un buon divertimento.