Webアプリケーションの脆弱性を発見するフレームワーク「Web Application Attack and Audit Framework(w3af) 1.0」が公開された。SourceForgeのプロジェクトページよりダウンロードできる。
w3afはWebアプリケーションの脆弱性を発見したり、実際に脆弱性に対する攻撃を行うためのフレームワーク。開発者やセキュリティ研究者が、Webアプリケーションのセキュリティ検査やテストに利用することを想定している。プログラムはPythonで書かれており、GPLで公開されている。コアのほか、SQLインジェクション、クロスサイトスクリプティング(XXS)などをチェックできる130種以上のプラグインを持つ。
初の正式版では、コードの安定性、自動アップデートなどの特徴を持つ。クラッシュを最小限に抑え、常に最新機能を使えるという。
新機能としては、PHPの静的コード解析が加わり、SQLインジェクション、リモートファイルインクルード(RFI)などを発見できるようになった。また、エミュレーションしたシステムコールを使って脆弱なサーバー上でファイルの実行などを行う「Webアプリケーションペイロード」機能も加わった。このほか、インデックスの利用によるSQLiteの性能改善なども強化点となる。
w3af
http://w3af.sourceforge.net/
w3adのダウンロード
http://sourceforge.jp/projects/sfnet_w3af/