O que é um Fuzzer em Penetration Testing (Pentesting)

Publicado por Mauro Risonho de Paula Assumpção A.K.A firebits em 11/03/2010

[ Hits: 19.237 ]

 


O que é um Fuzzer em Penetration Testing (Pentesting)



Um fuzzer de segurança é uma ferramenta usada por pentesters (profissionais de teste de invasão), analista de segurança e hackers, para testar parâmetros de várias aplicações. Fuzzers testam softwares em busca de buffer overflows, format string vulnerabilities e error handling.

Alguns fuzzers avançados incorporam funcionalidades para testar vulnerabilidades do tipo "directory traversal attacks" ou seja, "ataques de travessia de pastas", onde o atacante acessa pastas em vários níveis sem privilégios, "command execution vulnerabilities", "SQL Injection" e "Cross Site Scripting vulnerabilities". Web Vulnerability scanners tem tipicamente toda a performance e funcionalidade de fuzzer + um proxie para análise de requisições web, podendo ser considerado um fuzzer avançado.

Fuzzers populares são: SPIKE Proxy, Peach Fuzzer Framework e WebScarab.

Links:

SPIKE Proxy (python)
http://www.immunitysec.com/downloads/SPIKE2.9.tgz

Peach Fuzzer Framework (python)
http://peachfuzzer.com/

WebScarab (Java)
http://sourceforge.net/projects/owasp/files/WebScarab/

Em alguns artigos estarei falando o uso de cada um deles.

Você pode encontrar esta ferramenta no Backtrack Brasil e a ISO do Backtrack 4 Final em:
Aguardem.

Outras dicas deste autor

Obtendo o nome do host e o MAC address rapidamente

Darkstat - Um analisador de tráfego de rede

Backtrack 4 - Atualizando o banco de dados de Fingerprint (impressões digitais) do Nmap 5.0

Lista de servidores compatíveis com OpenBSD

Como instalar os adicionais de convidado no CentOS como Guest no VirtualBox

Leitura recomendada

A necessidade de um firewall

Logout automático do root

Criptografia de arquivos

Série de webinars e podcasts sobre Análise Forense Computacional e CHFI

Snoopy Logger

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário