O que é um Fuzzer em Penetration Testing (Pentesting)

Publicado por Mauro Risonho de Paula Assumpção A.K.A firebits em 11/03/2010

[ Hits: 24.969 ]

 


O que é um Fuzzer em Penetration Testing (Pentesting)



Um fuzzer de segurança é uma ferramenta usada por pentesters (profissionais de teste de invasão), analista de segurança e hackers, para testar parâmetros de várias aplicações. Fuzzers testam softwares em busca de buffer overflows, format string vulnerabilities e error handling.

Alguns fuzzers avançados incorporam funcionalidades para testar vulnerabilidades do tipo "directory traversal attacks" ou seja, "ataques de travessia de pastas", onde o atacante acessa pastas em vários níveis sem privilégios, "command execution vulnerabilities", "SQL Injection" e "Cross Site Scripting vulnerabilities". Web Vulnerability scanners tem tipicamente toda a performance e funcionalidade de fuzzer + um proxie para análise de requisições web, podendo ser considerado um fuzzer avançado.

Fuzzers populares são: SPIKE Proxy, Peach Fuzzer Framework e WebScarab.

Links:

SPIKE Proxy (python)
http://www.immunitysec.com/downloads/SPIKE2.9.tgz

Peach Fuzzer Framework (python)
http://peachfuzzer.com/

WebScarab (Java)
http://sourceforge.net/projects/owasp/files/WebScarab/

Em alguns artigos estarei falando o uso de cada um deles.

Você pode encontrar esta ferramenta no Backtrack Brasil e a ISO do Backtrack 4 Final em:
Aguardem.

Outras dicas deste autor

Desligando temporariamente os módulos que travam o kernel do OpenBSD

IDSwakeup - Simulador de ataques e falso positivos para testar IDS

Backtrack 4 - OScanner

251 Plugins para Scanning em Hardening com OpenVAS4

Material DeveloperWorks da IBM (LPI 101-102,LPI 201-202 e LPI 303) - em inglês

Leitura recomendada

Liberar Panda Cloud no Squid

Colocando senha criptografada no Grub

Nova versão do sshtrix liberada! Mais uma ferramenta para Brute force

Sniffing com Wireshark como um usuário comum

Não completa o apt-get update - /var/lib/dpkg/lock [Resolvido]

  

Comentários

Nenhum coment�rio foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts