W3af (Web Application Attack and Audit Framework) è un web scanner opensource integrato anche in BackBox dedicato alla sicurezza delle applicazioni Web. Il software infatti è in grado di scansionare le vulnerabilità di un sito web fornendo notevoli informazioni sull’eventuale vulnerabilità trovata.

Tra le principali analisi che l’utility effettua è importante ricordare la scansione di eventuali SQL Injection, cross-site scripting (XSS) e remote file inclusion (RFI).

Il software è scritto in Python ed ha pertanto la peculiarità di essere multi-piattaforma (Windows, Linux, Mac OS X, FreeBSD e OpenBSD) inoltre è disponibile un essenziale interfaccia shell oppure la più comoda GUI grafica.

Per tutti gli utenti BackBox (una delle migliori distribuzioni dedicate al Pen Testing) il software è preinstallato, mentre per chi avesse una propria distribuzione di linux basata su Ubunt può effettuare l’installazione dell’applicativo semplicemente digitando il seguente comando:

$ sudo apt-get install w3af

Per eseguire w3af in modalità GUI basterà digitare il comando

$ sudo w3af

eventualmente se preferite gestire il software da console digitate:

$ sudo w3af_console

Come anticipato dal titolo del post, lo scorso 10 Novembre 2011 l’applicativo ha raggiunto la versione 1.1 introducendo le seguenti migliorie:

• Implementazione della codifica gzip per migliorare le prestazioni;
• Utilizzo del protocollo XMLPRC per i report;
• Fix di bug vari tra i quali l’auto-update

Infine vi ricordo sito internet ufficiale del progetto: http://sourceforge.net/projects/w3af/