martes, 4 de diciembre de 2007

Instalando w3af en Windows

Hace unos post atrás comentaba que estaba muy interesado en w3af (Web Application Attack and Audit Framework), un framework para descubrir vulnerabilidades en servidores Web y que conocí en CIBSI 2007.

Bueno, finalmente lo bajé y lo instalé tanto en Ubuntu Gusty como en Windows. He aquí un pseudo tutorial para este último.

Lo que sigue lo he probado en Windows XP, 2000 y 2003.

Podemos obtener el w3af desde aquí:

http://w3af.sourceforge.net/#download

Seleccionamos la versión deseada. En mi caso, me bajé la w3af beta5 [yen] del 18 Octubre de 2007 de unos 9,8 MB. Una vez en tierra lo descomprimimos en, por ejemplo, C:\w3af. El archivo está comprimido en bz2, así que vas a necesitar de un software que lo sepa descomprimir. Si no conocen ninguno, prueben con 7-zip que además de ser muy bueno es de código libre.

Como w3af está escrito en lenguaje Python necesitaremos instalar el intérprete para Windows. Bajamos el instalador del intérprete Python desde aquí:

http://www.python.org/download/

Nota: La versión actual al momento de escribir estas lineas era la 2.5.1.

La instalación de Python no ofrece ningún inconveniente: simplemente hay que seguir el asistente. Se nos informará que para finalizar la instalación es necesario reiniciar el equipo. Pulsamos el botón "Later" para hacerlo más tarde ya que vamos realizar algunos cambios.

Si vamos a ejecutar w3af frecuentemente va a ser muy cómodo agregar el directorio donde hemos instalado Python (por defecto, C:\python25 ) a la variable path del sistema:

1. Desde el escritorio hacemos click con el botón derecho en Mi PC y luego hacemos pulsamos el botón Propiedades.

2. En la ventana Propiedades del sistema hacemos click en Avanzado.


3. Hacemos click en el botón Variables de Entorno.


4. En la sección Variables seleccionamos la variable PATH y luego pulsamos el botón Editar.

5. Agregamos un punto y coma en el final del valor de la variable seguido del directorio donde hemos instalado Python (en mi caso, C:\pyton25). Luego pulsamos el botón Aceptar.


Con esto nos evitamos el problema de tener que ingresar el path completo para ejecutar el intérprete Python.

Hecho esto, podemos reiniciar la PC.

Necesitamos también la librería Utidy para Windows la cual la encontramos aquí:

http://developer.berlios.de/project/showfiles.php?group_id=1810

La instalación de la librería tampoco es compleja. Sólo se nos preguntará en que directorio está instalado Python pero en general lo detecta el instalador leyendo la registry.

Ahora queda por instalar el resto de las dependencias que requiere el framework. Estas ya vienen en con w3af.

Abrimos el intérprete de comandos desde el menú Inicio/Ejecutar e ingresamos cmd y pulsamos Enter.

Cambiamos de directorio al de donde hemos colocado el w3af (por ejemplo, C:\w3af, como es mi caso). Una vez allí seguimos los siguientes comandos:

cd extlib
cd fpconst-0.7.2
python setup.py install
cd ..
cd pygoogle
python setup.py install
cd ..
cd pywordnet
python setup.py install

Bien, hemos finalizado la instalación de todas las dependencias para poder ejecutar w3af. En un próximo post veremos lo fácil que es esto en Linux.

Para probarlo, basta ejecutar desde el directorio de w3af:

python w3af

Puede ser útil un archivo .bat para no tener que escribir esto cada vez que ejecutamos el programa. En ese caso, también puede ser interesante, si pensamos usar w3af seguido, crear un acceso directo a dicho .bat en el escritorio.

Si hemos hecho las cosas bien deberíamos ver al cabo de unos segundos el intérprete de comandos de w3af:

w3af>>

Lo que podemos hacer con esta herramienta y como usarla será motivo de una entrada posterior. Para los más ansiosos, les dejo este enlace. Recuerden también que pueden bajar el manual oficial de w3af desde la página del proyecto o directamente desde aquí:

http://w3af.sourceforge.net/documentation/user/w3afUsersGuide.pdf

1 comentario:

Anónimo dijo...

¡Buen aporte! , pero ¿podrías hacer otro para la versión más nueva?

Este ya es muy viejo (2010) pero tengo entendido que ahora tiene menos dependencias.

Saludos!