Introduction
Webshag est un outil, multiplateforme, destiné à l'audit de serveurs web. Intégralement écrit en Python, il regroupe une série de fonctionnalités utiles lors de tests d'intrusion de serveurs web, tels qu'un scanner d'URL et un "fuzzer" de fichiers.
Webshag peut être utilisé pour scanner des serveurs web en HTTP et HTTPS, au travers d'un proxy ou encore en utilisant une authentification (Basic ou Digest). En plus de cela, il intègre des fonctionnalités d'évasion IDS spécialement conçues pour compliquer la corrélation entre les nombreuses requêtes qu'il génère (pour ce faire, il est notamment capable d'utiliser un serveur proxy différent pour chaque requête générée).
Webshag propose un scanner d'URL et un "fuzzer" de fichiers spécialement pensés pour réduire le nombre de faux positifs, inhérent à ce type d'outils. Pour cela, il intègre un mécanisme capable de détecter des pages par défaut, même face à des contenus dynamiques. Ce mécanisme est spécialement conçu pour faire face à des serveurs web ayant un comportement non-standard (notamment des serveurs notifiant les erreurs au travers de réponses de type "soft 404").
En plus des fonctionnalités décrites ci-dessus, webshag propose de nouveaux outils, à l'image de son module permettant de récupérer la liste des noms de domaine hébergés à une adresse IP donnée ou encore un mode de "fuzzing" permettant de rechercher des fichiers cachés à partir d'une convention de nommage définie par l'utilisateur.
Proposant une interface graphique intuitive (ainsi qu'une interface en ligne de commande dans sa version Linux), Webshag est disponible pour les systèmes Linux et Windows sous licence GPL.
Pré-requis
Afin d'être pleinement fonctionnel, webshag nécessite les éléments suivants:
- Python 2.5/2.6 (NON compatible avec Python 3.0)
- Bibliothèque graphique wxPython 2.8.9.0 ou supérieure
- Scanner de ports Nmap
- Live Search AppID
Note: se référer à la documentation pour l'utilisation de l'installeur sur Windows Vista.
Téléchargements
| version 1.10 | |
|---|---|
| Linux (archive TAR.GZ) | ws110.tar.gz |
| Windows (archive ZIP) | ws110.zip |
| Windows (installeur) | ws110_win32installer.zip |
| Documentation (EN) | ws110_manual.pdf |
| version 1.00 | |
| Linux (archive TAR) | ws100_linux.tar.gz |
| Windows (installeur) | ws100_win.exe |
| Code source | ws100_src.tar.gz |
| Documentation (EN) | ws100_manual.pdf |
Feedback
Merci de faire parvenir les problèmes rencontrés ainsi que vos commentaires à l'adresse webshag@scrt.ch.
Crédits
Webshag est distribué avec la base de vulnérabilités de Nikto.
Installeur Windows créé à l'aide de py2exe et Inno Setup.
Suisse (HQ)
SCRT Information Security
Le Trési 6C
1028 Préverenges (Lausanne)
Plan d'accès
T +41 21 802 64 01
F +41 21 802 64 02
France
SCRT Information Security
20 bis, rue Louis Philippe
92200 Neuilly-sur-Seine
T +33 1 77 69 64 40