O que é um Fuzzer em Penetration Testing (Pentesting)

Publicado por Mauro Risonho de Paula Assumpção A.K.A firebits em 11/03/2010

[ Hits: 20.796 ]

 


O que é um Fuzzer em Penetration Testing (Pentesting)



Um fuzzer de segurança é uma ferramenta usada por pentesters (profissionais de teste de invasão), analista de segurança e hackers, para testar parâmetros de várias aplicações. Fuzzers testam softwares em busca de buffer overflows, format string vulnerabilities e error handling.

Alguns fuzzers avançados incorporam funcionalidades para testar vulnerabilidades do tipo "directory traversal attacks" ou seja, "ataques de travessia de pastas", onde o atacante acessa pastas em vários níveis sem privilégios, "command execution vulnerabilities", "SQL Injection" e "Cross Site Scripting vulnerabilities". Web Vulnerability scanners tem tipicamente toda a performance e funcionalidade de fuzzer + um proxie para análise de requisições web, podendo ser considerado um fuzzer avançado.

Fuzzers populares são: SPIKE Proxy, Peach Fuzzer Framework e WebScarab.

Links:

SPIKE Proxy (python)
http://www.immunitysec.com/downloads/SPIKE2.9.tgz

Peach Fuzzer Framework (python)
http://peachfuzzer.com/

WebScarab (Java)
http://sourceforge.net/projects/owasp/files/WebScarab/

Em alguns artigos estarei falando o uso de cada um deles.

Você pode encontrar esta ferramenta no Backtrack Brasil e a ISO do Backtrack 4 Final em:
Aguardem.

Outras dicas deste autor

Backtrack 4 - OScanner

jnettop - Um ótimo visualizador o tráfego de rede entre hosts/ports

Darkstat - Um analisador de tráfego de rede

Backtrack 4 - Atualizando pasta de exploits através do site milw0rm

Removendo a senha da BIOS via Linux

Leitura recomendada

Aumenta sua segurança com o LPS-Linux

Bloquear Facebook HTTPS liberando apenas alguns usuários

Protegendo o servidor SSH de ataque "brute force"

Atualização do ClamAV no Kurumin

Projeto Root - Senhas seguras com o KeePass

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário