Vulnerability Scanning Menggunakan w3af

Vulnerability Scanning Menggunakan w3af. Kali ini saya akan sharing mengenai cara menemukan kerentanan pada sebuah website menggunakan framework bernama w3af (Web Application Attack and Audit Framework). Pada klaim di halaman resminya, tool ini mampu mendeteksi lebih dari 200 kerentanan, termasuk SQL Injection, XSS, maupun Command Injection.

Pada Kali Linux maupun BackBox, kalian bisa menginstall tool ini menggunakan perintah:

sudo apt install w3af -y

Menggunakan w3af

Untuk menjalankan w3af, jalankan command

sudo w3af_console

Untuk melihat opsi yang bisa digunakan, jalankan perintah

w3af>>> help

Oke langsung saja untuk contoh audit.

Pertama, kita set target.

w3af>>> target

w3af/config:target>>> set target http://testphp.vulnweb.com

Balik lagi ke menu plugins untuk mengatur output.

w3af/config:target>>> back

w3af>>> plugins

w3af/plugins>>>  output

w3af/plugins>>>  output console

Masih di menu plugins, sekarang kita atur plugins auditnya. Sebenarnya kita bisa pilih satu plugin audit saja, misalnya kita hanya ingin melakukan scan terhadap celah SQLi. Namun disini kita bisa set auditnya ke semua.

w3af/plugins>>> audit

w3af/plugins>>> audit all

Terakhir, masih di menu plugins kita aktifkan modul crawling.

w3af/plugins>>> crawl

w3af/plugins>>> crawl all

Lalu balik lagi ke menu utama untuk melakukan audit.

w3af/plugins>>> back

w3af>>> start

Berikut hasil scanning setelah beberapa menit. w3af menemukan kerentanan SQL Injection pada web target.

Oke mungkin itu dulu sharing kali ini. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.