"OWASP Live CD" sattelt auf Ubuntu um

Was für Netz- und System-Penetrationstests die BackTrack-Live-CD ist für Webentwickler sowie externe und interne Tester/Auditoren die OWASP Live CD. eine Sammlung quelloffener Security-Software. Mit Matt Tesauro hat das Projekt einen neuen Maintainer, seit der Neugestaltung im Herbst 2008 sind neue Versionen erschienen.

Die gegenwärtige Version "AustinTerrier" enthält eine Reihe von frei verfügbaren Werkzeugen zum Fingerprinting von Webservern (Httprint), Webapplikations-Scanner wie Grendel Scan und w3af, spezielle Tools zum Test auf SQL Injections (SQLiX, sqlmap) sowie diverse Fuzzer und Brute-Force-Werkzeuge. Obligatorisch sind lokale Proxies wie Webscarab, Paros Proxy, Rat Proxy und Burp Suite und ein vorkonfigurierter Firefox mit 25 (!) Plug-ins dabei.

Der Wermutstropfen: Die Programmversionen sind zum Teil nicht die neuesten. Firefox gibt es derzeit in Version 3.0.6, und einige Infrastrukturwerkzeuge wie Wireshark, nmap/zenmap könnten ebenfalls neuer sein. Metasploit ist allerdings aus dem SVN-Repository draußen. Die AustinTerrier-Version soll nach der "OWASP AppSec Europe 2009"-Konferenz, die diese Woche in Krakau stattfand, erneuert werden.

Die CD sowie die VMware- und VirtualBox-Images setzen ebenso wie BackTrack auf dem Linux-Live-CD-Framework SLAX auf, einer modifizierten Slackware-Distribution. Langfristig sieht Tesauro das jedoch als Sackgasse. Die folgende Version soll auf Ubuntu basieren, also ein besseres Paketmanagement mitbringen, und damit Updates und das Auflösen von Abhängigkeiten vereinfachen sowie das Signieren der Pakete erlauben. Weiterhin lässt sich mit Wubi relativ einfach eine große Datei auf dem Windows-Dateisystem platzieren, in die ohne Veränderung der Partitionstabelle zu booten ist. (Dr. Dirk Wetter) (ane)