imagelogo
contact

SCRT Webshag

Introduction

Webshag est un outil, multi-plateforme, destiné à l'audit de serveurs web. Intégralement écrit en Python, il regroupe une série de fonctionalités utiles lors de tests d'intrusion de serveurs web, tels qu'un scanner d'URL et un "fuzzer" de fichiers.



Webshag peut être utilisé pour scanner des serveurs web en HTTP et HTTPS, au travers d'un proxy ou encore en utilisant une authentification (Basic ou Digest). En plus de cela, il intégre des fonctionalités d'évasion IDS spécialement conçues pour compliquer la corrélation entre les nombreuses requêtes qu'il génère (pour ce faire, il est notamment capable d'utiliser un serveur proxy différent pour chaque requête générée).

Webshag propose un scanner d'URL et un "fuzzer" de fichiers spécialement pensés pour réduire le nombre de faux positifs, inhérent à ce type d'outils. Pour cela, il intègre un mécanisme capable de détecter des pages par défaut, même face à des contenus dynamiques. Ce mécanisme est spécialement conçu pour faire face à des serveurs web ayant un comportement non-standard (notamment des serveurs notifiant les erreurs au travers de réponses de type "soft 404").

En plus des fonctionalités décrites ci-dessus, webshag propose de nouveaux outils, à l'image de son module permettant de récupérer la liste des noms de domaine hébergés à une adresse IP donnée ou encore un mode de "fuzzing" permettant de rehercher des fichiers cachés à partir d'une convention de nommage définie par l'utilisateur.

Proposant une interface graphique intuitive (ainsi qu'une interface en ligne de commande dans sa version Linux), webshag est disponible pour les systèmes Linux et Windows sous licence GPL.

Pré-requis

Afin d'être pleinement fonctionnel, webshag nécessite les éléments suivants:

- Python 2.5 ou ActivePython 2.5
- Bibliothèque graphique wxPython
- Scanner de ports Nmap
- Live Search AppID

Note: Python et wxPython ne sont pas requis pour la version Windows.

Téléchargements

version 1.00
Linux (archive TAR)    ws100_linux.tar.gz
Windows (installeur)    ws100_win.exe
Code source    ws100_src.tar.gz
Documentation (EN)    ws100_manual.pdf

Feedback

Merci de faire parvenir les problèmes rencontrés ainsi que vos commentaires à l'adresse

Crédits

Webshag est distribué avec la base de vulnérabilités de Nikto.
Installeur Windows créé à l'aide de py2exe et Inno Setup.
Downloads
cronertopright
 
cornerbottomleft