WebSploit es un framework open-source que integra una suite de utilidades para auditar entornos web y localizar diversos tipos de vulnerabilidades.
La herramienta contiene módulos de ingeniería social, escaneo/crawling y análisis web además de soportar diversas utilidades para ejecutar ataques de red (útil para comprobar que los dispositivos de networking cuentan con las contramedidas necesarias). Alguno de estos módulos se muestran a continuación:
- [+]Autopwn de Metasploit
- [+]wmap de Metasploit
- [+]format infector
- [+]phpmyadmin Scanner
- [+]LFI Bypasser
- [+]Apache Users Scanner
- [+]Dir Bruter
- [+]admin finder
- [+]MLITM Attack
- [+]MITM
- [+]Java Applet Attack
- [+]MFOD Attack Vector
- [+]USB Infection Attack
- [+]ARP Dos Attack
- [+]Web Killer Attack
- [+]Fake Update Attack
- [+]Fake Access point Attack
Para lanzar WebSploit únicamente necesitamos descargar el paquete de instalación, descomprimirlo y ejecutar el fichero install.sh. Una vez instalado podremos ejecutar websploit desde la consola para lanzar la aplicación. Websploit utiliza una sintaxis similar a Metasploit de forma que conshow modules mostraremos todos los modulos disponibles. Para seleccionar uno en concreto ejecutaremos use nombre_modulo (Ej: use exploit/autopwn) y con run podremos ejecutarlo.