W3af

w3af (web application attack and audit framework) è un'applicazione web open source per il security scanner. Questo progetto fornisce uno scanner per le vulnerabilità e un tool per effettuare l'exploitation di applicazioni web.^[1] Permette, inoltre, di ricavare informazioni riguardanti le vulnerabilità sulla sicurezza per essere utilizzate in un penetration testing. Lo scanner offre all'utente sia un'interfaccia grafica che una a linea di comando.^[2]

w3af software
Logo
Screenshot dell'applicazione Screenshot dell'applicazione
Genere	Sicurezza informatica
Sviluppatore	Andres Riancho
Ultima versione	1.6.49 (7 aprile 2015)
Sistema operativo	Multipiattaforma
Linguaggio	Python
Licenza	GPL v2 (licenza libera)
Lingua	Inglese
Sito web	www.w3af.org

Architettura

w3af è diviso in due parti principali: il core e i plug-ins.^[3] Il core coordina i processi e mette a disposizione le funzioni consumate dai plug-ins, che trovano le vulnerabilità ed effettuano l'exploitation. I plug-ins sono interconnessi e condividono fra loro informazioni utilizzando un knowledge base.

I plug-ins possono essere suddivisi in Discovery, Audit, Grep, Attack, Output, Mangle, Evasion o Bruteforce.

Storia

w3af fu lanciato da Andres Riancho nel marzo 2007, dopo molti anni di sviluppo da parte della comunità. Nel luglio 2010, w3af annunciò la sua sponsorizzazione e collaborazione con Rapid7. Grazie a questo accordo, il progetto fu in grado di incrementare la velocità di sviluppo e mantenere una notevole crescita del numero di utenti e contributori.