OWASP OWTF是一个专注于渗透测试效率和安全测试与OWASP测试指南(v3和v4),OWASP Top 10,PTES和NIST等安全标准一致的项目,因此测试者将有更多时间来
看大图,想出来
更有效地查找,验证和组合漏洞
有时间调查复杂的漏洞,如业务逻辑/架构漏洞或虚拟主机会话
对看起来有风险的地区进行更多的战术/目标模糊测试
尽管我们通常会给予测试的时间很短,但仍能证明真实的影响。
该工具是高度可配置的,任何人都可以简单地创建简单的插件或在配置文件中添加新测试,而无需任何开发经验。
注意:这个工具不是一个silverbullet,只会和使用它的人一样好:理解和经验将需要正确解释工具的输出,并决定进一步调查什么,以展示影响。
特征
弹性:如果一个工具崩溃OWTF,将移动到下一个工具/测试,保存该工具的部分输出,直到它崩溃。 OWTF还允许您监视工作进程和估计的插件运行时间。
灵活性:如果您的互联网连接或目标主机在评估过程中出现故障,您可以暂停相关工作进程并稍后恢复,以避免数据丢失。
测试分离:OWTF将其目标流量分为3类插件:
被动:没有流量进入目标
半被动:正常流量到达目标
活动:直接漏洞探测
诸如被动和半静态测试分离等一些功能还可以帮助笔试者进一步发挥先锋作用,甚至可以合法地开始撰写报告或准备攻击,然后让他们接受绿灯测试。
ReST API:OWTF使用PostgreSQL作为数据库后端。所有核心OWTF功能和选项都通过ReST API公开,使得轻松添加新功能变得非常容易。
遵循流行笔测试标准:
OWTF将尽可能地将研究结果分类到OWASP测试指南。它还支持NIST和PTES标准。
PlugnHack v2支持:PlugnHack是Mozilla安全团队提出的标准,用于定义安全工具如何以更有用和更实用的方式与浏览器交互。
Zest和OWASP-ZAP集成:Zest是一个由Mozilla安全团队开发的实验性专用脚本语言(特定领域),旨在用于面向Web的安全工具。
响应式Web界面:OWTF现在具有默认的Web界面,该界面集成了所有核心OWTF选项,并可以轻松管理大笔测试。
交互式报告即时更新:
工具输出中的自动插件排名,可由用户完全配置。
可配置的风险排名
每个插件的在线笔记编辑器。
要求
目前,OWTF在Linux上得到了开发和支持,并为Kali Linux(1.x和2.x)提供了开箱即用的支持。
OWTF是为Python 2.7开发的,因此它可能无法在较早的Python版本上按预期运行。
有关第三方库要求的更多信息,请参阅要求。
安装
推荐的:
wget -N https://raw.githubusercontent.com/owtf/bootstrap-script/master/bootstrap.sh; bash bootstrap.sh
或者干脆git克隆https://github.com/owtf/owtf.git; cd owtf /; python2 install / install.py
要在Windows或MacOS上运行OWTF,请使用提供的Dockerfile(需要安装Docker)来尝试OWTF:
$ docker build -t owtf-dev。
$ docker run -it -p 8009:8009 -p 8008:8008 -p 8010:8010 -v〜/ path_to_OWTF_on_host:/ owtf owtf-dev / bin / bash
打开〜/ .owtf /配置并将SERVER_ADDR:127.0.0.1更改为SERVER_ADDR:0.0.0.0。
运行owtf
为OWTF webUI打开localhost:8009。
看大图,想出来
更有效地查找,验证和组合漏洞
有时间调查复杂的漏洞,如业务逻辑/架构漏洞或虚拟主机会话
对看起来有风险的地区进行更多的战术/目标模糊测试
尽管我们通常会给予测试的时间很短,但仍能证明真实的影响。
该工具是高度可配置的,任何人都可以简单地创建简单的插件或在配置文件中添加新测试,而无需任何开发经验。
注意:这个工具不是一个silverbullet,只会和使用它的人一样好:理解和经验将需要正确解释工具的输出,并决定进一步调查什么,以展示影响。
特征
弹性:如果一个工具崩溃OWTF,将移动到下一个工具/测试,保存该工具的部分输出,直到它崩溃。 OWTF还允许您监视工作进程和估计的插件运行时间。
灵活性:如果您的互联网连接或目标主机在评估过程中出现故障,您可以暂停相关工作进程并稍后恢复,以避免数据丢失。
测试分离:OWTF将其目标流量分为3类插件:
被动:没有流量进入目标
半被动:正常流量到达目标
活动:直接漏洞探测
诸如被动和半静态测试分离等一些功能还可以帮助笔试者进一步发挥先锋作用,甚至可以合法地开始撰写报告或准备攻击,然后让他们接受绿灯测试。
ReST API:OWTF使用PostgreSQL作为数据库后端。所有核心OWTF功能和选项都通过ReST API公开,使得轻松添加新功能变得非常容易。
遵循流行笔测试标准:
OWTF将尽可能地将研究结果分类到OWASP测试指南。它还支持NIST和PTES标准。
PlugnHack v2支持:PlugnHack是Mozilla安全团队提出的标准,用于定义安全工具如何以更有用和更实用的方式与浏览器交互。
Zest和OWASP-ZAP集成:Zest是一个由Mozilla安全团队开发的实验性专用脚本语言(特定领域),旨在用于面向Web的安全工具。
响应式Web界面:OWTF现在具有默认的Web界面,该界面集成了所有核心OWTF选项,并可以轻松管理大笔测试。
交互式报告即时更新:
工具输出中的自动插件排名,可由用户完全配置。
可配置的风险排名
每个插件的在线笔记编辑器。
要求
目前,OWTF在Linux上得到了开发和支持,并为Kali Linux(1.x和2.x)提供了开箱即用的支持。
OWTF是为Python 2.7开发的,因此它可能无法在较早的Python版本上按预期运行。
有关第三方库要求的更多信息,请参阅要求。
安装
推荐的:
wget -N https://raw.githubusercontent.com/owtf/bootstrap-script/master/bootstrap.sh; bash bootstrap.sh
或者干脆git克隆https://github.com/owtf/owtf.git; cd owtf /; python2 install / install.py
要在Windows或MacOS上运行OWTF,请使用提供的Dockerfile(需要安装Docker)来尝试OWTF:
$ docker build -t owtf-dev。
$ docker run -it -p 8009:8009 -p 8008:8008 -p 8010:8010 -v〜/ path_to_OWTF_on_host:/ owtf owtf-dev / bin / bash
打开〜/ .owtf /配置并将SERVER_ADDR:127.0.0.1更改为SERVER_ADDR:0.0.0.0。
运行owtf
为OWTF webUI打开localhost:8009。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
