Web Application Security com CAL9000

Publicado por Roberto Soares (3spreto) em 01/03/2010

[ Hits: 7.675 ]

Blog: http://codesec.blogspot.com

 


Web Application Security com CAL9000



CAL9000 é uma coleção de ferramentas de testes de segurança para aplicações web que complementa os recursos atuais de web proxies e scanners automatizados. CAL9000 lhe dá a flexibilidade e funcionalidade que você precisará para testes manuais mais eficazes e menos esforços. Funciona melhor quando usado com o navegador Firefox.

CAL9000 é escrito em JavaScript, então você terá acesso total ao código-fonte. Sinta-se livre para modificá-lo para melhor atender às suas necessidades específicas. CAL9000 tem algumas características poderosas (como a execução cross-domain xmlHttpRequests e escrita para o disco). Dedique alguns momentos para verificar as funcionalidades desta ferramenta.

No Firefox, vá em: http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

Baixe o .zip mais recente contendo o CAL9000 e faça a descompactação para o diretório de sua escolha.

Carregue o arquivo CAL9000.html no Firefox para abrir o aplicativo (também funciona com o IE, mais como falei acima, seu rendimento é melhor com o FF, testem para ver. :P )
Linux: Web Application Security com CAL9000
Escrito principalmente em JavaScript, o CAL9000 é executado diretamente no Firefox.

Por isso ele pode ser executado localmente em qualquer máquina com um navegador - nenhuma configuração de proxy, nenhuma instalação e poucos direitos de acesso são exigidos.

Apesar da conveniência, ele oferece uma grande variedade de ferramentas, que vão desde geradores de string de ataques até dicas de grande utilidade.

Obs.: Não há garantia de que o CAL9000 seja seguro. Ele é uma ferramenta perigosa nas mãos erradas. Use-o localmente em sua máquina.

Não instale no seu servidor. Apesar de ser escrito para ser executado em um navegador, ele vai tentar escrever em arquivos locais e conectar-se a sites externos.

Deixá-lo instalado em seu site, acessível ao público, é quase tão perigoso quanto deixar a senha do administrador como "admin".

Em breve estarei disponibilizando um artigo completo sobre esta ferramenta.

Obs.: Frequentemente o link pra download oficial fica OFF, sendo assim, baixem através do link abaixo:
Abraços.

Outras dicas deste autor

Atualizando o BackTrack 4 com o apt-get e Fast-Track

OWASP Zed Attack Proxy Project

Paros Proxy - Web Application Security

Descobrindo informações variadas do alvo pelo BackTrack 4

Auditando senhas com Ncrack

Leitura recomendada

Alterando a senha de root no Metasys Corporate MC

Backtrack 4 - OScanner

Definindo a inicialização em modo gráfico ou texto no Red Hat

Série de Webinars em Segurança da Informação - Destaque para Análise Forense Computacional

Logout automático do root

  

Comentários
[1] Comentário enviado por fernandofrare em 31/05/2010 - 14:53h

Ele é uma Shell em Javascript que analisa vulnerabilidades. Bem parecida com o Exploit C99.php Shell.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts