w3af (Web Application Attack and Audit Framework) scanner detection rule

 

w3af는 sourceforge에 나온 스캐닝 툴이자 공격 툴입니다.

 

사용법은

 

http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3afUsersGuide.pdf

 

다음 링크에 자세하게 나옵니다.

 

이 툴의 특징은 특정한 User-Agent를 사용합니다.

 

User-agent: w3af.sourceforge.net

 

alert tcp any any -> any 80 (content:”|0d0a|User-Agent|3a20|w3af.sourceforge.net|0d0a|”; nocase;)

 

alert tcp any any -> any 80 (content:”User-Agent”; nocase; content:”w3af.sourceforge.net”; nocase; distance:0; within:50; pcre:”/^User\x2dAgent\3a\s+w3af\x2esourceforge\x2enet\x0d\x0a/smi”;)

 

alert tcp any any -> any 80 (content:”w3af.sourceforge.net”; nocase; pcre:”/^User\x2dAgent\3a\s+w3af\x2esourceforge\x2enet\x0d\x0a/smi”;)

 

3가지 다 비슷하나 차이점이 있습니다.

1번째는 pcre를 사용하지 않았고

2,3 번째는 사용했습니다.

 

2번째 fastpattern match 는 User-Agent입니다.

hit수가 많을 수 있으므로 unique한 w3f.sourceforge.net를 찾고 pcre를 적용합니다.

Advertisements

About this entry