Web Application Security com CAL9000

Publicado por Roberto Soares (3spreto) em 01/03/2010

[ Hits: 7.731 ]

Blog: http://codesec.blogspot.com

 


Web Application Security com CAL9000



CAL9000 é uma coleção de ferramentas de testes de segurança para aplicações web que complementa os recursos atuais de web proxies e scanners automatizados. CAL9000 lhe dá a flexibilidade e funcionalidade que você precisará para testes manuais mais eficazes e menos esforços. Funciona melhor quando usado com o navegador Firefox.

CAL9000 é escrito em JavaScript, então você terá acesso total ao código-fonte. Sinta-se livre para modificá-lo para melhor atender às suas necessidades específicas. CAL9000 tem algumas características poderosas (como a execução cross-domain xmlHttpRequests e escrita para o disco). Dedique alguns momentos para verificar as funcionalidades desta ferramenta.

No Firefox, vá em: http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

Baixe o .zip mais recente contendo o CAL9000 e faça a descompactação para o diretório de sua escolha.

Carregue o arquivo CAL9000.html no Firefox para abrir o aplicativo (também funciona com o IE, mais como falei acima, seu rendimento é melhor com o FF, testem para ver. :P )
Linux: Web Application Security com CAL9000
Escrito principalmente em JavaScript, o CAL9000 é executado diretamente no Firefox.

Por isso ele pode ser executado localmente em qualquer máquina com um navegador - nenhuma configuração de proxy, nenhuma instalação e poucos direitos de acesso são exigidos.

Apesar da conveniência, ele oferece uma grande variedade de ferramentas, que vão desde geradores de string de ataques até dicas de grande utilidade.

Obs.: Não há garantia de que o CAL9000 seja seguro. Ele é uma ferramenta perigosa nas mãos erradas. Use-o localmente em sua máquina.

Não instale no seu servidor. Apesar de ser escrito para ser executado em um navegador, ele vai tentar escrever em arquivos locais e conectar-se a sites externos.

Deixá-lo instalado em seu site, acessível ao público, é quase tão perigoso quanto deixar a senha do administrador como "admin".

Em breve estarei disponibilizando um artigo completo sobre esta ferramenta.

Obs.: Frequentemente o link pra download oficial fica OFF, sendo assim, baixem através do link abaixo:
Abraços.

Outras dicas deste autor

theHarvester - Vamos colher alguns e-mails?

PwnTooth - pen testing em dispositivos bluetooth

Paros Proxy - Web Application Security

Redirecionamento de portas com socat

OWASP Zed Attack Proxy Project

Leitura recomendada

DROP ou REJECT no iptables?

arch-audit - Detecte vulnerabilidades nos pacotes instalados no Arch Linux

Mais segurança no Ubuntu Linux - Vídeo

Protegendo o servidor SSH de ataque "brute force"

Uma dica de firewall baseado em iptables

  

Comentários
[1] Comentário enviado por fernandofrare em 31/05/2010 - 14:53h

Ele é uma Shell em Javascript que analisa vulnerabilidades. Bem parecida com o Exploit C99.php Shell.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts