Web Application Attack and Audit Framework

長らく開発版のままだったw3afの初のメジャーリリースとなる「Web Application Attack and Audit Framework 1.0」(w3af 1.0)が公開された。w3afはWebアプリケーションの脆弱性を発見するための統合支援ツール。WebサイトやWebアプリケーションに対してさまざまな脆弱性の調査を実施し、どういった問題があるかを指摘してくれる。

w3af 1.0における主な新機能や改善点は次のとおり。

  • 自動アップデート機能の実現。常に最新の状態に保つことが可能。
  • クラッシュ回数の削減。これまでw3afはクラッシュすることが多かったが、1.0ではだいぶ安定化している。
  • PHPスタティックコードアナライザの実現。SQLインジェクションといった脆弱性を検出可能。
  • HTTPキャッシュリファクタリング。
  • GTKユーザインタフェースコードリファクタリング。
  • SQLiteデータベース処理の改善。

w3afのコアコードはPythonで開発されている。同様の統合支援ツールはいくつもあるが、w3afはソースコードがGPLv2のもとでオープンソースソフトウェアとして公開されており、扱いやすいという特徴がある。開発時のセキュリティチェックや、運用しているサイトの脆弱性チェックなどに活用できる。