Web Application Security com CAL9000

Publicado por Roberto Soares (3spreto) em 01/03/2010

[ Hits: 6.505 ]

Blog: http://codesec.blogspot.com

 


Web Application Security com CAL9000



CAL9000 é uma coleção de ferramentas de testes de segurança para aplicações web que complementa os recursos atuais de web proxies e scanners automatizados. CAL9000 lhe dá a flexibilidade e funcionalidade que você precisará para testes manuais mais eficazes e menos esforços. Funciona melhor quando usado com o navegador Firefox.

CAL9000 é escrito em JavaScript, então você terá acesso total ao código-fonte. Sinta-se livre para modificá-lo para melhor atender às suas necessidades específicas. CAL9000 tem algumas características poderosas (como a execução cross-domain xmlHttpRequests e escrita para o disco). Dedique alguns momentos para verificar as funcionalidades desta ferramenta.

No Firefox, vá em: http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

Baixe o .zip mais recente contendo o CAL9000 e faça a descompactação para o diretório de sua escolha.

Carregue o arquivo CAL9000.html no Firefox para abrir o aplicativo (também funciona com o IE, mais como falei acima, seu rendimento é melhor com o FF, testem para ver. :P )
Linux: Web Application Security com CAL9000
Escrito principalmente em JavaScript, o CAL9000 é executado diretamente no Firefox.

Por isso ele pode ser executado localmente em qualquer máquina com um navegador - nenhuma configuração de proxy, nenhuma instalação e poucos direitos de acesso são exigidos.

Apesar da conveniência, ele oferece uma grande variedade de ferramentas, que vão desde geradores de string de ataques até dicas de grande utilidade.

Obs.: Não há garantia de que o CAL9000 seja seguro. Ele é uma ferramenta perigosa nas mãos erradas. Use-o localmente em sua máquina.

Não instale no seu servidor. Apesar de ser escrito para ser executado em um navegador, ele vai tentar escrever em arquivos locais e conectar-se a sites externos.

Deixá-lo instalado em seu site, acessível ao público, é quase tão perigoso quanto deixar a senha do administrador como "admin".

Em breve estarei disponibilizando um artigo completo sobre esta ferramenta.

Obs.: Frequentemente o link pra download oficial fica OFF, sendo assim, baixem através do link abaixo:
Abraços.

Outras dicas deste autor

Tubarão nas nuvens? Vá de Cloudshark!

Proteção contra vulnerabilidade POODLE SSLv3

Redirecionamento de portas com socat

theHarvester - Vamos colher alguns e-mails?

Paros Proxy - Web Application Security

Leitura recomendada

Obtendo acesso a hosts internos de uma rede remota com SSH

Liberar mais um usuário para acesso administrativo no Endian Firewall

Navegar como se estivesse em outro país no Ubuntu e Linux Mint

Shellshock - Corrigindo falha de segurança do bash em seu servidor Debian

Firewalls: Wiki Arch Linux

  

Comentários
[1] Comentário enviado por fernandofrare em 31/05/2010 - 14:53h

Ele é uma Shell em Javascript que analisa vulnerabilidades. Bem parecida com o Exploit C99.php Shell.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts