文章目錄
  1. 1. wap2.0安装
  2. 2. 使用手册
  3. 3. 相关资料
  4. 4. 实例测试及感受

wap2.0安装

下载地址http://sourceforge.net/projects/awap/files/wap-2.0/,有3种不同操作系统平台的程序包。由于在windows环境下测试的时候发现有些bug。所以这里的测试环境采用了ubuntu+wap-2.0.x86.tar.gz。

下载解压:tar zxvf wap-2.0.x86.tar.gz

使用手册

在线手册http://awap.sourceforge.net/support.html 或者进入wap目录。输入:java -jar wap.jar -h 也会打印帮助文档。

11

如果我们想要对一个cms系统进行漏洞挖掘,使用-p参数指定应用的路径就可以了。比如:

java -jar wap.jar  -a -sqli -xss -ci -p ~/下载/cmseasy5.5/uploads/

-a选项是只检查漏洞不自动修复漏洞,因为wap2.0有自动修复漏洞功能。-sqli -xss -ci 就是检测这三种类型的漏洞。-p 指定cms的目录。

相关资料

该工具在互联网找到的资料只有其官网的信息http://awap.sourceforge.net/support.html 这里提供了关于该工具的3篇论文。下面是论文中wap的架构,可以大致了解wap的特点和应用场景。

11

WAP可以基于语义分析应用的源代码,并对数据流进行分析,比如它会追踪$_GET, $_POST等入口点,并且追踪确认是否最终有敏感的方法可被执行。在探测结束后,这个工具还会通过数据挖掘确认漏洞是否真的存在或误报。它还有个自动修正代码中缺陷的功能。

这是wap对一些开源软件扫描的结果,可以看到474个报告中,只有15个误报,其他都是真实存在的漏洞。这个准确度还是相当高的。当然他的缺陷也就很明显了,减少了误报,也极大的增加了漏报。它只能发现一些典型的漏洞。在之后的实际测试中也基本证实了这一点。
11

实例测试及感受

在实际测试的过程中发现wap经常会出现异常退出或者长时间无法完成扫描的情况。wap的优点是误报少,缺点就是只适合发现典型的漏洞,对大量源代码进行扫描或者没有做过审计的代码进行扫描应该会有一些收获。但是对相对成熟一些的程序,难以发现有效的漏洞。下面使用wap对piwigo相册程序进行扫描时发现的一个报告:

> > > >  File: /home/litdg/下载/piwigo/admin/theme.php < < < <
     > Information:
        - Number of Lines of Code: 53
        - Is a include file: no
        - Included files: none
        - Defined user function: none
        - Number of Vulnerabilities detected: 1
           - Real Vulnerabilities: 1
           - False positives: 0

    = = = =  Vulnerability n.: 1  = = = =
    Type: RFI, LFI, DT

    Vulnerable code:
    44: $filename = PHPWG_THEMES_PATH.$_GET['theme'].'/admin/admin.inc.php';
    47:   include_once($filename);

    Corrected code:
    44: $filename = PHPWG_THEMES_PATH.$_GET['theme'].'/admin/admin.inc.php';
    47: if (san_mix($_GET['theme'], 'include', null) == 0)
    48:      include_once($filename);

查看源代码发现,这里确实是一个典型的文件包含的的写法。但是代码在前面有一个白名单判断的条件,是不存在漏洞的。

11

文章目錄
  1. 1. wap2.0安装
  2. 2. 使用手册
  3. 3. 相关资料
  4. 4. 实例测试及感受