OWASP OWTF 是一个着眼于高效渗透测试以及与OWASP测试指南标准(OWASP Testing Guide (v3 and v4))、OWASP top 10、PTES和NIST保持一致性的安全测试的项目,这样渗透人员能有更多的时间去:
- See the big picture and think out of the box
- 更高效地发现,验证和结合分析漏洞
- 调查复杂的漏洞,比如业务逻辑/设计缺陷或者虚拟主机会话
- 在疑似危险的地方进行更多的模糊测试(fuzz)
- 在通常给定的短暂测试时限内,验证影响。
这个工具是高度可定制化的,任何人都可以在没有任何开发经验的情况下,创建简单的插件或者在配置文件中添加新的测试。
贴士: 当然,这个工具不会是枚“银弹”,只有当人们 在证明(漏洞)影响的时候,正确地去阐释工具的输出,决定好进一步的探究方向,积累了足够的经验,这个工具才能发挥最好的功用。
OWASP实在Kali Linux和MacOS上开发的,但是它是为Kali Linux(或者其他Debian系)定制的。
OWTF同时支持Python2和Python3。
推荐方式:
首选方式:Virtualenv
pip install owtf
或者 pip install git+https://github.com/owtf/owtf#egg=owtf
或者克隆这个仓库然后运行 python setup.py install
在Windows或者MacOS上运行OWTF,清使用供OWTF运行的Dockerfile(需要安装了Docker):
make docker-build
make docker-run
- 打开
~/.owtf/conf
再将SERVER_ADDR: 127.0.0.1
改为SERVER_ADDR: 0.0.0.0
. - 创建一个virtualenv:
virtualenv env
启用它:source env/bin/activate
. - 安装和运行OWTF。
$ cd owtf/
# 安装开发者版本,这样任何修改均会即刻展现出来。
$ python setup.py develop
# 运行OWTF!
$ python -m owtf
- 开启
localhost:8009
,获取OWTF的web界面。
安装条件:安装homebrew (https://brew.sh/) 然后跟随一下步骤:
$ virtualenv <venv name>
$ source <venv name>/bin/activate
$ brew install coreutils gnu-sed openssl
#我们需要先安装'cryptography',避免出问题。
$ pip install cryptography --global-option=build_ext --global-option="-L/usr/local/opt/openssl/lib" --global-option="-I/usr/local/opt/openssl/include"
$ git clone <this repo>
$ cd owtf
$ python setup.py install
# 运行OWTF!
$ python -m owtf
为了运行工具,安装它们,并将OWTF config(~/.owtf/conf/general.cfg)指向正确的地址。
-
弹性: 如果一个工具崩溃了,OWTF将继续转到下一个工具/测试,并自动保存输出部分直到它彻底崩溃。
-
灵活性: 暂停和恢复你的工作。
-
测试分离: OWTF 将其目标流量主要分为3类,插件:
- 被动 : 没有流量流向目标
- 半被动 : 正常流量到达目标
- 主动: 直接的漏洞探测流量
-
可扩展REST API。
-
几乎完整囊括 OWASP Testing Guide(v3, v4), Top 10, NIST, CWE标准。
-
Web界面: 轻松管理大型渗透测试项目
-
互动报告:
- 从工具的输出中自动评级的插件,完全支持用户自定义。
- 自定义风险等级。
- 每个插件都有在线编辑器。
点击 LICENSE
- 项目主页
- IRC
- 维基百科
- Slack and join channel
#project-owtf
- User Documentation
- 油管频道
- Slideshare
- 博客