Pentesting en aplicaciones GWT

gwtsec.jpeg

GWT o Google Web Toolkit es un framework para el desarrollo de aplicaciones RIA a partir de aplicaciones escritas en java propiedad de, como su nombre indica, Google.

GWT-Penetration-Testing-Toolset es un conjunto de scripts escritos en python especialmente orientados a testear la seguridad de aplicaciones GWT. Ahora mismo se compone de 3 scripts:

gwtenum - capaz de sacar información del GWT-RPC y de los ficheros xxx.cache.html. gwtfuzzer - este inyecta basura a las peticiones html cambiando la entrada de usuario. gwtparser - parsea las peticiones GWT-RPC y es capaz de extraer los datos de entrada de los usuarios.

La web del proyecto está aquí y también podéis ver la presentación que el autor hizo en la OWASP AppSec DC.