Awesome !!
Friday, 27. March 2009, 14:13:00
Après une semaine à me concentrer sur le développement de Wapiti, j'ai mis à jour les ChangeLog de Wapiti et lswww et j'en ai profité pour rectifier le fichier README.
Je me suis alors rendu compte du travail effectué depuis la version 2.0.0 béta et aussi que je ne vous en ait parlé que très récemment et sans réelles explications
(même si j'avais donné quelques infos en commentaire sur la dernière béta 
).
Le moment est donc venu de vous tenir au courant de ce que la prochaine version à venir apportera et à quoi vous attendre
Tout d'abord la version 2.0.0-béta ne verra pas sa version stable. En effet il y a eu tellement de changement qu'il ne s'agit plus du tout de la même version
Cette version apportait tout de même son lot de nouveautés comme une nouvelle technique de scan pour les XSS, la génération de rapports de scans, l'ajout d'option --nice évitant les boucles infinies lors des scans et la correction de l'authentification HTTP.
Le changement radical qui s'est effectué est avant tout l'abandon de la librairie urllib2 pour httplib2, petite librairie basée sur httplib et sous licence MIT.
Le grand avantage de ce changement, c'est le support des connexions HTTP persistantes par httplib2. Alors que les anciennes versions de Wapiti basées sur urllib2 pouvait avoir un effet néfaste (saturation du nombre de connexions du serveur web
), ici le maximum de requêtes possible sera envoyé à travers une même connexion. Non seulement le serveur ne se fatigue pas mais en plus on obtient un gain important en vitesse de scan 
Bien sûr l'intégration de cette librairie ne s'est pas faite sans quelques nouveaux bugs qui ont fait leur apparition mais ils ont pû être corrigés.
L'une des premières conséquence a été la perte du support des proxies. Pour moi il semblait évident que httplib2 supporait les proxies HTTP "standards"... ce n'était pas le cas
Il a donc fallu modifier cette librairie et aussi permettre l'intégration de toutes les bonnes choses qui étaient offertes.
Au final on a du nouveau sur les proxies avec le support des proxies HTTP, SOCKS v4, SOCKS v5 (passage à travers Tor) ou tunneling par HTTP CONNECT
Je n'ai pas eu l'occastion de tester cette dernière mais pour les proxies SOCKS ça fonctionne
On a ensuite croisé des soucis avec les entêtes et codes d'erreurs HTTP ainsi que les redirections traitées de façon invisible par la librairie. Comme Wapiti essaye de déclencher des erreurs dans les pages, httplib2 n'a pas forcément apprécié et on lui a retiré le support des redirections pour le laisser à Wapiti qui faisait ça très bien.
Pour terminer sur les bugs
, j'ai rajouté des vérifications sur les timeouts dans les différents modules et cloturé la quasi-totalité des bugs rapportés sur le tracker.
J'ai rajouté une nouvelle option à lswww : -e (ou --export) qui permet de générer un fichier XML des urls et des formulaires trouvés durant un scan. Pour l'instant cette option n'a aucune utilité mais j'espère que d'autres logiciels intégreront une option pour importer ces données (à l'occasion j'en toucherais quelques mots aux développeurs de sqlmap
)
Les attaques SQL ne sont d'ailleurs pas en reste puisque le scan des failles d'injection SQL en aveugle ("time-based") a été ajouté. Je vous invite à jeter un oeil aux payloads utilisés
Restez dans les parages pour être tenu au courant de la sortie de cette prochaine version (encore des vérifications à faire).
Les plus impatients peuvent déjà récupérer la version présente sur le SVN :
svn co https://wapiti.svn.sourceforge.net/svnroot/wapiti/trunk wapiti
Et pendant que j'y pense, Wapiti a été intégré au Live-CD OWASP 2008
Je me suis alors rendu compte du travail effectué depuis la version 2.0.0 béta et aussi que je ne vous en ait parlé que très récemment et sans réelles explications
(même si j'avais donné quelques infos en commentaire sur la dernière béta ).Le moment est donc venu de vous tenir au courant de ce que la prochaine version à venir apportera et à quoi vous attendre
Tout d'abord la version 2.0.0-béta ne verra pas sa version stable. En effet il y a eu tellement de changement qu'il ne s'agit plus du tout de la même version
Cette version apportait tout de même son lot de nouveautés comme une nouvelle technique de scan pour les XSS, la génération de rapports de scans, l'ajout d'option --nice évitant les boucles infinies lors des scans et la correction de l'authentification HTTP.
Le changement radical qui s'est effectué est avant tout l'abandon de la librairie urllib2 pour httplib2, petite librairie basée sur httplib et sous licence MIT.
Le grand avantage de ce changement, c'est le support des connexions HTTP persistantes par httplib2. Alors que les anciennes versions de Wapiti basées sur urllib2 pouvait avoir un effet néfaste (saturation du nombre de connexions du serveur web
), ici le maximum de requêtes possible sera envoyé à travers une même connexion. Non seulement le serveur ne se fatigue pas mais en plus on obtient un gain important en vitesse de scan Bien sûr l'intégration de cette librairie ne s'est pas faite sans quelques nouveaux bugs qui ont fait leur apparition mais ils ont pû être corrigés.
L'une des premières conséquence a été la perte du support des proxies. Pour moi il semblait évident que httplib2 supporait les proxies HTTP "standards"... ce n'était pas le cas
Il a donc fallu modifier cette librairie et aussi permettre l'intégration de toutes les bonnes choses qui étaient offertes.
Au final on a du nouveau sur les proxies avec le support des proxies HTTP, SOCKS v4, SOCKS v5 (passage à travers Tor) ou tunneling par HTTP CONNECT
Je n'ai pas eu l'occastion de tester cette dernière mais pour les proxies SOCKS ça fonctionne
On a ensuite croisé des soucis avec les entêtes et codes d'erreurs HTTP ainsi que les redirections traitées de façon invisible par la librairie. Comme Wapiti essaye de déclencher des erreurs dans les pages, httplib2 n'a pas forcément apprécié et on lui a retiré le support des redirections pour le laisser à Wapiti qui faisait ça très bien.
Pour terminer sur les bugs
, j'ai rajouté des vérifications sur les timeouts dans les différents modules et cloturé la quasi-totalité des bugs rapportés sur le tracker.J'ai rajouté une nouvelle option à lswww : -e (ou --export) qui permet de générer un fichier XML des urls et des formulaires trouvés durant un scan. Pour l'instant cette option n'a aucune utilité mais j'espère que d'autres logiciels intégreront une option pour importer ces données (à l'occasion j'en toucherais quelques mots aux développeurs de sqlmap
)Les attaques SQL ne sont d'ailleurs pas en reste puisque le scan des failles d'injection SQL en aveugle ("time-based") a été ajouté. Je vous invite à jeter un oeil aux payloads utilisés
Restez dans les parages pour être tenu au courant de la sortie de cette prochaine version (encore des vérifications à faire).
Les plus impatients peuvent déjà récupérer la version présente sur le SVN :
svn co https://wapiti.svn.sourceforge.net/svnroot/wapiti/trunk wapiti
Et pendant que j'y pense, Wapiti a été intégré au Live-CD OWASP 2008
WIDGETIZE
How to use Quote function: