https://wiki.ixheim.de/index.php?action=history&feed=atom&title=WebSlayerWebSlayer - Versionsgeschichte2026-05-15T11:07:01ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=WebSlayer&diff=61104&oldid=prevThomas.will: Die Seite wurde neu angelegt: „=WebSlayer= WebSlayer ist ein webbasiertes Fuzzing-Tool zur Entdeckung von Schwachstellen und versteckten Inhalten in Webanwendungen. Es wurde ursprünglic…“2025-04-05T08:36:10Z<p>Die Seite wurde neu angelegt: „=WebSlayer= <a href="/index.php/WebSlayer" title="WebSlayer">WebSlayer</a> ist ein webbasiertes Fuzzing-Tool zur Entdeckung von Schwachstellen und versteckten Inhalten in Webanwendungen. Es wurde ursprünglic…“</p>
<p><b>Neue Seite</b></p><div>=WebSlayer=<br />
[[WebSlayer]] ist ein webbasiertes Fuzzing-Tool zur Entdeckung von Schwachstellen und versteckten Inhalten in Webanwendungen. Es wurde ursprünglich als Teil von [[OWASP]] entwickelt und ist GUI-basiert.<br />
<br />
=Erklärung=<br />
*Führt Fuzzing-Angriffe gegen Parameter, Header, Cookies, Pfade oder HTTP-Methoden durch<br />
*Verwendet benutzerdefinierte Wortlisten für gezielte Angriffe<br />
*Kann auf Dateien, Verzeichnisse, Authentifizierungsfelder oder andere Input-Elemente angewendet werden<br />
*Ziel ist es, versteckte Ressourcen, Standardpfade, schwache Logins oder fehleranfällige Parameter zu finden<br />
<br />
=Installation=<br />
*WebSlayer ist veraltet und in vielen Distributionen nicht mehr direkt verfügbar<br />
*Manuelle Installation über das OWASP-Projektarchiv möglich:<br />
**https://github.com/OWASP/wwww-archive/tree/master/WebSlayer<br />
<br />
*Benötigt:<br />
**Java Runtime Environment<br />
**Apache Tomcat oder standalone als WAR-Datei<br />
<br />
=Anwendung=<br />
*Start über Weboberfläche (meist via http://localhost:8080/webslayer)<br />
*Auswahl des Zielhosts<br />
*Definition der Angriffsmethode (z. B. URL-Fuzzing, Parameter, Cookies)<br />
*Auswahl der Wortliste<br />
*Starten des Angriffs und Auswertung nach Statuscodes, Antwortgrößen und Zeiten<br />
<br />
=Typische Einsatzgebiete=<br />
*Finden versteckter Admin-Bereiche (/admin, /test)<br />
*Brute-Force auf Login-Felder<br />
*Überprüfung von Methoden wie PUT, DELETE<br />
*Test von Parameter-Validierungen (z. B. ID-Parameter in GET-Requests)<br />
*Cookie- und Header-Manipulation<br />
<br />
=Grenzen=<br />
*Veraltet, nicht mehr aktiv gepflegt<br />
*Nur sinnvoll bei einfachen Webanwendungen ohne JS-Frameworks<br />
*Keine automatische Schwachstellenbewertung (z. B. CVEs)<br />
*Nicht CLI-basiert – keine einfache Integration in Skripte oder Automatisierung<br />
<br />
=Alternativen und Ergänzungen=<br />
*[[ffuf]] – Schneller Fuzzer für Pfade, Parameter, Cookies, mit CLI<br />
*[[BurpSuite Intruder]] – Sehr leistungsfähiger Fuzzer mit Session-Handling<br />
*[[DirBuster]] – Pfadbasiertes Fuzzing<br />
*[[wfuzz]] – Vielseitiger CLI-Fuzzer<br />
*[[OWASP ZAP]] – Unterstützt Fuzzing als Teil vollständiger Webtests</div>Thomas.will