O que é um Fuzzer em Penetration Testing (Pentesting)

Publicado por Mauro Risonho de Paula Assumpção A.K.A firebits em 11/03/2010

[ Hits: 24.945 ]

 


O que é um Fuzzer em Penetration Testing (Pentesting)



Um fuzzer de segurança é uma ferramenta usada por pentesters (profissionais de teste de invasão), analista de segurança e hackers, para testar parâmetros de várias aplicações. Fuzzers testam softwares em busca de buffer overflows, format string vulnerabilities e error handling.

Alguns fuzzers avançados incorporam funcionalidades para testar vulnerabilidades do tipo "directory traversal attacks" ou seja, "ataques de travessia de pastas", onde o atacante acessa pastas em vários níveis sem privilégios, "command execution vulnerabilities", "SQL Injection" e "Cross Site Scripting vulnerabilities". Web Vulnerability scanners tem tipicamente toda a performance e funcionalidade de fuzzer + um proxie para análise de requisições web, podendo ser considerado um fuzzer avançado.

Fuzzers populares são: SPIKE Proxy, Peach Fuzzer Framework e WebScarab.

Links:

SPIKE Proxy (python)
http://www.immunitysec.com/downloads/SPIKE2.9.tgz

Peach Fuzzer Framework (python)
http://peachfuzzer.com/

WebScarab (Java)
http://sourceforge.net/projects/owasp/files/WebScarab/

Em alguns artigos estarei falando o uso de cada um deles.

Você pode encontrar esta ferramenta no Backtrack Brasil e a ISO do Backtrack 4 Final em:
Aguardem.

Outras dicas deste autor

Material DeveloperWorks da IBM (LPI 101-102,LPI 201-202 e LPI 303) - em inglês

Mac Spoofing em sistemas UNIX, *BSD e Linux

b5i2iso - converter imagem BIN para ISO quando não se tem o arquivo CUE

Falando sobre Pentesting (teste de invasão)

jnettop - Um ótimo visualizador o tráfego de rede entre hosts/ports

Leitura recomendada

Nessus - Vulnerability Scan

Liberar o FTP no IPtables

Autenticação de repositórios em distros Debian-like

Desabilitando respostas a comandos ping

hBlock - bloqueio de domínios de ADS e malware

  

Comentários

Nenhum coment�rio foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts