WebSlayer

WebSlayer ist ein webbasiertes Fuzzing-Tool zur Entdeckung von Schwachstellen und versteckten Inhalten in Webanwendungen. Es wurde ursprünglich als Teil von OWASP entwickelt und ist GUI-basiert.

Erklärung

• Führt Fuzzing-Angriffe gegen Parameter, Header, Cookies, Pfade oder HTTP-Methoden durch
• Verwendet benutzerdefinierte Wortlisten für gezielte Angriffe
• Kann auf Dateien, Verzeichnisse, Authentifizierungsfelder oder andere Input-Elemente angewendet werden
• Ziel ist es, versteckte Ressourcen, Standardpfade, schwache Logins oder fehleranfällige Parameter zu finden

Installation

• WebSlayer ist veraltet und in vielen Distributionen nicht mehr direkt verfügbar
• Manuelle Installation über das OWASP-Projektarchiv möglich:
  • https://github.com/OWASP/wwww-archive/tree/master/WebSlayer

• Benötigt:
  • Java Runtime Environment
  • Apache Tomcat oder standalone als WAR-Datei

Anwendung

• Start über Weboberfläche (meist via http://localhost:8080/webslayer)
• Auswahl des Zielhosts
• Definition der Angriffsmethode (z. B. URL-Fuzzing, Parameter, Cookies)
• Auswahl der Wortliste
• Starten des Angriffs und Auswertung nach Statuscodes, Antwortgrößen und Zeiten

Typische Einsatzgebiete

• Finden versteckter Admin-Bereiche (/admin, /test)
• Brute-Force auf Login-Felder
• Überprüfung von Methoden wie PUT, DELETE
• Test von Parameter-Validierungen (z. B. ID-Parameter in GET-Requests)
• Cookie- und Header-Manipulation

Grenzen

• Veraltet, nicht mehr aktiv gepflegt
• Nur sinnvoll bei einfachen Webanwendungen ohne JS-Frameworks
• Keine automatische Schwachstellenbewertung (z. B. CVEs)
• Nicht CLI-basiert – keine einfache Integration in Skripte oder Automatisierung

Alternativen und Ergänzungen

• ffuf – Schneller Fuzzer für Pfade, Parameter, Cookies, mit CLI
• BurpSuite Intruder – Sehr leistungsfähiger Fuzzer mit Session-Handling
• DirBuster – Pfadbasiertes Fuzzing
• wfuzz – Vielseitiger CLI-Fuzzer
• OWASP ZAP – Unterstützt Fuzzing als Teil vollständiger Webtests