Web Tools, oder wou ufänken als Pentester?

Mir weider schwätzen iwwer nëtzlech Tools fir Pentester. Am neien Artikel wäerte mir Tools kucken fir d'Sécherheet vu Webapplikatiounen ze analyséieren.

Eise Kolleg BeLove Ech hu schonn esou eppes gemaach Kompiléierung viru ronn siwe Joer. Et ass interessant ze gesinn, wéi eng Tools hir Positiounen behalen a verstäerkt hunn, a wéi eng an den Hannergrond verschwonnen sinn an elo selten benotzt ginn.


Notéiert datt dëst och Burp Suite enthält, awer et gëtt eng separat Verëffentlechung doriwwer a seng nëtzlech Plugins.

Inhalt:

• sammelen
• Altdns
• aquaton
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wufz
• vuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• Sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Schwaachpass
• AEM_hacker
• JoomScan
• WPScan

sammelen

sammelen - e Go Tool fir DNS Ënnerdomainen ze sichen an z'enumeréieren an dat externt Netzwierk ze kartéieren. Amass ass en OWASP Projet entwéckelt fir ze weisen wéi Organisatiounen um Internet fir en Auslänner ausgesinn. Amass kritt Subdomain Nimm op verschidde Manéieren; D'Tool benotzt souwuel rekursiv Opzielung vun Subdomains wéi och Open Source Sich.

Ze entdecken interconnected Reseau Segmenter an autonom System Zuelen, Amass benotzt IP Adressen während Operatioun kritt. All fonnt Informatioun gëtt benotzt fir eng Netzwierkkaart ze bauen.

Pros:

• Informatiounssammelen Techniken enthalen:
  * DNS - Wierderbuch Sich vun Subdomains, Bruteforce Subdomains, Smart Sich mat Mutatiounen baséiert op fonnte Subdomains, ëmgedréint DNS Ufroen a Sich no DNS Server wou et méiglech ass eng Zone Transfer Ufro ze maachen (AXFR);

  * Open Source Sich - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Sich TLS Zertifikat Datenbanken - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Benotzt Sichmotor APIen - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Sich Internet Webarchiven: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Integratioun mat Maltego;
• Bitt déi komplettst Ofdeckung vun der Aufgab fir no DNS Subdomains ze sichen.

Muecht:

• Sidd virsiichteg mat amass.netdomains - et wäert probéieren all IP Adress an der identifizéierter Infrastruktur ze kontaktéieren an Domain Nimm aus ëmgedréint DNS Lookups an TLS Certificaten ze kréien. Dëst ass eng "High-Profil" Technik, et kann Är Intelligenzaktivitéiten an der Organisatioun ënner Enquête verroden.
• Héich Erënnerung Konsum, kann konsuméieren bis zu 2 GB RAM an verschidden Astellungen, déi net erlaben Iech dëst Instrument an der Wollek op engem bëlleg VDS ze lafen.

Altdns

Altdns - e Python-Tool fir Dictionnairen ze kompiléieren fir DNS Ënnerdomainen z'enumeréieren. Erlaabt Iech vill Varianten vun Ënnerdomainen ze generéieren mat Mutatiounen a Permutatiounen. Fir dëst gi Wierder benotzt, déi dacks an Ënnerdomaine fonnt ginn (zum Beispill: Test, Dev, Staging), all Mutatiounen an Permutatiounen ginn op scho bekannte Subdomains applizéiert, déi op den Altdns-Input ofginn kënne ginn. D'Ausgab ass eng Lëscht vu Variatiounen vun Ënnerdomainen déi existéiere kënnen, an dës Lëscht kann spéider fir DNS Brute Force benotzt ginn.

Pros:

• Schafft gutt mat groussen Datesets.

aquaton

aquaton - war virdru besser bekannt als en anert Tool fir Ënnerdomainen ze sichen, awer den Auteur selwer huet dëst zugonschte vun der genannter Amass opginn. Elo ass Aquatone am Go nei geschriwwe ginn an ass méi orientéiert fir virleefeg Erkennung op Websäiten. Fir dëst ze maachen, geet Aquatone duerch déi spezifizéiert Domainen a sicht Websäiten op verschiddene Ports, duerno sammelt se all Informatioun iwwer de Site an hëlt e Screenshot. Bequem fir séier virleefeg Reconnaissance vu Websäiten, duerno kënnt Dir prioritär Ziler fir Attacken auswielen.

Pros:

• D'Output erstellt eng Grupp vu Dateien an Ordner déi bequem sinn ze benotzen wann Dir weider mat aneren Tools schafft:
  * HTML Bericht mat gesammelten Screenshots an Äntwerttitel gruppéiert no Ähnlechkeet;

  * E Fichier mat all URLen wou Websäite fonnt goufen;

  * Datei mat Statistiken a Säitdaten;

  * En Dossier mat Dateien mat Äntwert Header vu fonnten Ziler;

  * En Dossier mat Dateien déi de Kierper vun der Äntwert vun de fonnten Ziler enthalen;

  * Screenshots vu fonnte Websäiten;

• Ënnerstëtzt Aarbecht mat XML Berichter vun Nmap a Masscan;
• Benotzt headless Chrome / Chromium fir Screenshots ze maachen.

Muecht:

• Et kann d'Opmierksamkeet vun Intrusiounserkennungssystemer unzéien, sou datt et Konfiguratioun erfuerdert.

De Screenshot gouf fir eng vun den alen Versioune vun Aquatone (v0.5.0) geholl, an där DNS Subdomain Sich ëmgesat gouf. Eeler Versioune kënnen op fonnt ginn verëffentlecht Säit.

MassDNS

MassDNS ass en anert Tool fir DNS Subdomains ze fannen. Säin Haaptunterschied ass datt et DNS Ufroen direkt op vill verschidden DNS Resolvere mécht an dat mat erheblech Geschwindegkeet mécht.

Pros:

• Schnell - kapabel fir méi wéi 350 Tausend Nimm pro Sekonn ze léisen.

Muecht:

• MassDNS kann bedeitend Belaaschtung op d'DNS-Resolveren am Gebrauch verursaachen, wat zu Verbuet op dës Server oder Reklamatiounen un Ären ISP féieren kann. Zousätzlech wäert et eng grouss Laascht op d'DNS-Server vun der Firma setzen, wa se se hunn a wa se verantwortlech sinn fir d'Domänen déi Dir probéiert ze léisen.
• D'Lëscht vun de Resolveren ass am Moment net aktuell, awer wann Dir déi gebrach DNS Resolver auswielt an nei bekannte bäidréit, wäert alles gutt sinn.

Screenshot vun Aquatone v0.5.0

nsec3map

nsec3map ass e Python-Tool fir eng komplett Lëscht vun DNSSEC-geschützte Domainen ze kréien.

Pros:

• Entdeckt séier Hosten an DNS Zonen mat enger Mindestzuel u Ufroen wann DNSSEC Support an der Zone aktivéiert ass;
• Ëmfaasst e Plugin fir den John the Ripper dee benotzt ka ginn fir déi resultéierend NSEC3 Hashes ze knacken.

Muecht:

• Vill DNS Fehler ginn net korrekt gehandhabt;
• Et gëtt keng automatesch parallelization vun Veraarbechtung NSEC records - Dir musst den Nummraum manuell deelen;
• Héich Erënnerung Konsum.

Acunetix

Acunetix - e Web Schwachstelle Scanner deen de Prozess automatiséiert fir d'Sécherheet vu Webapplikatiounen ze kontrolléieren. Testt d'Applikatioun fir SQL Injektiounen, XSS, XXE, SSRF a vill aner Web Schwachstelle. Wéi och ëmmer, wéi all aner Scanner, ersetzt eng Vielfalt vu Webschwieregkeeten net e Pentester, well et keng komplex Ketten vu Schwachstelle oder Schwachstelle kann an der Logik fannen. Awer et deckt vill verschidde Schwachstelle, dorënner verschidde CVEs, déi de Pentester vläicht vergiess hätt, also ass et ganz bequem fir Iech vu Routine Kontrollen ze befreien.

Pros:

• Niddereg Niveau vu falschen Positiven;
• Resultater kënnen als Berichter exportéiert ginn;
• Maacht eng grouss Zuel vu Kontrollen fir verschidde Schwachstelle;
• Parallel Scannen vu verschidde Hosten.

Muecht:

• Et gëtt keen Deduplikatiouns-Algorithmus (Acunetix betruecht Säiten déi identesch an der Funktionalitéit als ënnerschiddlech sinn, well se zu verschiddenen URLen féieren), awer d'Entwéckler schaffen drun;
• Erfuerdert Installatioun op engem getrennten Webserver, wat d'Tester vu Clientsystemer mat enger VPN Verbindung komplizéiert an de Scanner an engem isoléierte Segment vum lokalen Clientnetz benotzt;
• De Service, deen studéiert gëtt, ka Kaméidi maachen, zum Beispill, andeems Dir ze vill Attacke Vektoren op de Kontaktformular op der Säit schéckt, an doduerch d'Geschäftsprozesser staark komplizéiert;
• Et ass eng propriétaire an deementspriechend net gratis Léisung.

Dirsearch

Dirsearch - e Python Tool fir brute-Forcing Verzeichnungen a Dateien op Websäiten.

Pros:

• Kann real "200 OK" Säiten aus "200 OK" Säiten z'ënnerscheeden, awer mam Text "Säit net fonnt";
• Kommt mat engem praktesche Wierderbuch deen e gudde Gläichgewiicht tëscht Gréisst a Sicheffizienz huet. Enthält Standard Weeër gemeinsam fir vill CMS an Technologie stacks;
• Säin eegene Wierderbuchformat, wat Iech erlaabt eng gutt Effizienz a Flexibilitéit bei der Opzielung vun Dateien an Verzeichnisser z'erreechen;
• Convenient Output - Einfach Text, JSON;
• Et kann Drossel maachen - eng Paus tëscht Ufroen, wat vital ass fir all schwaache Service.

Muecht:

• Extensiounen mussen als String passéiert ginn, wat onbequem ass wann Dir vill Extensiounen gläichzäiteg passéiere musst;
• Fir Äert Wierderbuch ze benotzen, muss et liicht am Dirsearch Wierderbuchformat fir maximal Effizienz geännert ginn.

wufz

wufz - Python Web Applikatioun Fuzzer. Wahrscheinlech ee vun de bekanntste Webphaser. De Prinzip ass einfach: wfuzz erlaabt Iech all Plaz an enger HTTP-Ufro ze phasen, wat et méiglech mécht GET/POST Parameteren, HTTP-Header, inklusiv Cookie an aner Authentifikatiouns-Header. Zur selwechter Zäit ass et och bequem fir einfach brute Kraaft vu Verzeichnisser a Dateien, fir déi Dir e gutt Wierderbuch braucht. Et huet och e flexibelen Filtersystem, mat deem Dir Äntwerte vun der Websäit no verschiddene Parameter filtere kënnt, wat Iech erlaabt effektiv Resultater z'erreechen.

Pros:

• Multifunktionell - modulär Struktur, Montage dauert e puer Minutten;
• Confortabel Filteren a Fuzzing Mechanismus;
• Dir kënnt all HTTP-Methode Phase maachen, souwéi all Plaz an enger HTTP-Ufro.

Muecht:

• Ënner Entwécklung.

vuf

vuf - e Web Fuzzer am Go, erstallt am "Bild an Ähnlechkeet" vu wfuzz, erlaabt Iech Dateien, Verzeichnisser, URL Weeër, Nimm a Wäerter vun GET / POST Parameteren, HTTP Header, inklusiv den Host Header fir brute Force ze bruten vu virtuelle Hosten. wfuzz ënnerscheet sech vu sengem Brudder a méi héijer Geschwindegkeet an e puer nei Features, zum Beispill, et ënnerstëtzt Dirsearch Format Dictionnairen.

Pros:

• Filtere sinn ähnlech wéi wfuzz Filtere, si erlaben Iech flexibel brute Kraaft ze konfiguréieren;
• Erlaabt Iech HTTP Header Wäerter, POST Ufrodaten a verschiddenen Deeler vun der URL ze fuzzéieren, dorënner Nimm a Wäerter vun GET Parameteren;
• Dir kënnt all HTTP Method uginn.

Muecht:

• Ënner Entwécklung.

gobuster

gobuster - e Go-Tool fir Opklärung, huet zwee Operatiounsmodi. Déi éischt gëtt benotzt fir Dateien a Verzeichnisser op enger Websäit ze bruten, déi zweet gëtt benotzt fir DNS Subdomains ze bruten. D'Tool ënnerstëtzt am Ufank net rekursiv Opzielung vu Dateien a Verzeichnisser, wat natierlech Zäit spuert, awer op der anerer Säit muss d'brute Kraaft vun all neien Endpunkt op der Websäit separat lancéiert ginn.

Pros:

• Héich Operatiounsgeschwindegkeet souwuel fir Brute Force Sich vun DNS Subdomains a fir Brute Force vu Dateien an Verzeichnisser.

Muecht:

• Déi aktuell Versioun ënnerstëtzt net d'Astellung vun HTTP Header;
• Par défaut sinn nëmmen e puer vun den HTTP-Statuscoden (200,204,301,302,307) gëlteg ugesinn.

Arjun

Arjun - e Tool fir brute Kraaft vu verstoppte HTTP Parameteren an GET / POST Parameteren, souwéi am JSON. Den agebaute Wierderbuch huet 25 Wierder, déi Ajrun a bal 980 Sekonnen kontrolléiert. Den Trick ass datt den Ajrun net all Parameter separat iwwerpréift, mee iwwerpréift ~ 30 Parameteren gläichzäiteg a kuckt ob d'Äntwert geännert huet. Wann d'Äntwert geännert huet, deelt se dës 1000 Parameteren an zwee Deeler a kontrolléiert wéi eng vun dësen Deeler d'Äntwert beaflosst. Also, mat enger einfacher binärer Sich, gëtt e Parameter oder e puer verstoppte Parameteren fonnt, déi d'Äntwert beaflosst hunn an dofir existéiere kënnen.

Pros:

• Héich Geschwindegkeet duerch binär Sich;
• Ënnerstëtzung fir GET / POST Parameteren, souwéi Parameteren a Form vun JSON;

De Plugin fir Burp Suite funktionnéiert op engem ähnleche Prinzip - param-miner, wat och ganz gutt ass fir verstoppte HTTP-Parameteren ze fannen. Mir soen Iech méi doriwwer an engem kommenden Artikel iwwer Burp a seng Plugins.

LinkFinder

LinkFinder - e Python Skript fir no Linken a JavaScript Dateien ze sichen. Nëtzlech fir verstoppt oder vergiess Endpunkten / URLen an enger Webapplikatioun ze fannen.

Pros:

• Schnell;
• Et gëtt e spezielle Plugin fir Chrome baséiert op LinkFinder.

.

Muecht:

• Onbequem Finale Conclusioun;
• Analyséiert JavaScript net iwwer Zäit;
• Eng ganz einfach Logik fir no Linken ze sichen - wann JavaScript iergendwéi verstoppt ass, oder d'Links am Ufank feelen an dynamesch generéiert ginn, da wäert et näischt fannen.

JSParser

JSParser ass e Python Skript dat benotzt Tornado и JSBeautifier fir relativ URLen aus JavaScript Dateien ze analyséieren. Ganz nëtzlech fir AJAX Ufroen z'entdecken an eng Lëscht vun API Methoden ze kompiléieren mat deenen d'Applikatioun interagéiert. Wierker effektiv a Verbindung mat LinkFinder.

Pros:

• Schnell Parsing vu JavaScript Dateien.

Sqlmap

Sqlmap ass wahrscheinlech ee vun de bekanntste Tools fir Webapplikatiounen ze analyséieren. Sqlmap automatiséiert d'Sich an d'Operatioun vu SQL-Injektiounen, schafft mat verschiddene SQL-Dialekter, an huet eng riesech Unzuel vu verschiddenen Techniken a sengem Arsenal, rangéiert vu riichtaus Zitater bis komplex Vektore fir Zäitbaséiert SQL-Injektiounen. Zousätzlech huet et vill Technike fir weider Ausbeutung fir verschidde DBMSs, sou datt et nëtzlech ass net nëmmen als Scanner fir SQL Injektiounen, awer och als e mächtegt Tool fir scho fonnt SQL Injektiounen auszenotzen.

Pros:

• Eng grouss Zuel vu verschiddenen Techniken a Vecteure;
• Niddereg Zuel vu falschen Positiven;
• Vill Fine-tuning Optiounen, verschidden Techniken, Zil- Datebank, tamper Scripten fir Ëmgank WAF;
• Fäegkeet Ausgangsdump ze kreéieren;
• Vill verschidden operationell Fäegkeeten, zum Beispill, fir e puer Datenbanken - automatesch Luede / Ausluede vu Fichieren, d'Fäegkeet ze kréien fir Kommandoen auszeféieren (RCE) an anerer;
• Ënnerstëtzung fir direkt Verbindung mat der Datebank benotzt Daten während engem Attack kritt;
• Dir kënnt eng Textdatei mat de Resultater vum Burp als Input ofginn - kee Besoin fir all d'Command Line Attributer manuell ze komponéieren.

Muecht:

• Et ass schwéier ze personaliséieren, zum Beispill, e puer vun Ären eegene Schecken ze schreiwen wéinst der knapper Dokumentatioun dofir;
• Ouni déi entspriechend Astellunge mécht et en onkomplett Set vu Kontrollen, wat täuschend ka sinn.

NoSQLMap

NoSQLMap - e Python-Tool fir d'Sich an d'Ausbeutung vun NoSQL-Injektiounen ze automatiséieren. Et ass bequem net nëmmen an NoSQL Datenbanken ze benotzen, awer och direkt wann Dir Webapplikatiounen auditéiert déi NoSQL benotzen.

Pros:

• Wéi sqlmap, fënnt et net nëmmen eng potenziell Schwachstelle, awer kontrolléiert och d'Méiglechkeet vu senger Ausbeutung fir MongoDB a CouchDB.

Muecht:

• Ënnerstëtzt net NoSQL fir Redis, Cassandra, Entwécklung ass an dëser Richtung amgaang.

oxml_xxe

oxml_xxe - e Tool fir XXE XML Exploiten an verschidden Aarte vu Dateien z'integréieren déi den XML Format an iergendenger Form benotzen.

Pros:

• Ënnerstëtzt vill gemeinsam Formater wéi DOCX, ODT, SVG, XML.

Muecht:

• Ënnerstëtzung fir PDF, JPEG, GIF ass net voll ëmgesat;
• Erstellt nëmmen eng Datei. Fir dëse Problem ze léisen, kënnt Dir den Tool benotzen docem, déi eng grouss Zuel vu Notzlaaschtdateien op verschiddene Plazen erstellen kann.

Déi uewe genannte Utilities maachen eng super Aarbecht fir XXE ze testen wann Dir Dokumenter mat XML lued. Awer och drun erënneren datt XML Format Handler a villen anere Fäll fonnt kënne ginn, zum Beispill kann XML als Dateformat amplaz JSON benotzt ginn.

Dofir empfeelen mir Iech op de folgende Repository opmierksam ze maachen, deen eng grouss Zuel vu verschiddene Notzlaascht enthält: PayloadsAllTheThings.

tplmap

tplmap - e Python-Tool fir automatesch Server-Side Template Injection Schwachstelle z'identifizéieren an auszenotzen; et huet Astellungen a Fändelen ähnlech wéi sqlmap. Benotzt verschidde verschidden Techniken a Vektoren, dorënner blann Injektioun, an huet och Technike fir Code auszeféieren an arbiträr Dateien ze lueden / eropzelueden. Zousätzlech huet hien a sengem Arsenal Technike fir eng Dosen verschidde Schablounmotoren an e puer Techniken fir no eval ()-ähnlechen Codeinjektiounen am Python, Ruby, PHP, JavaScript ze sichen. Wann et erfollegräich ass, mécht et eng interaktiv Konsole op.

Pros:

• Eng grouss Zuel vu verschiddenen Techniken a Vecteure;
• Ënnerstëtzt vill Schabloun Rendering Motore;
• Vill Operatiounstechniken.

CeWL

CeWL - e Wierderbuch Generator am Ruby, erstallt fir eenzegaarteg Wierder vun enger spezifizéierter Websäit ze extrahieren, verfollegt Linken um Site op eng spezifizéiert Déift. De kompiléierte Wierderbuch vun eenzegaartege Wierder kann spéider benotzt ginn fir Passwierder op Servicer oder Brute Force Dateien an Verzeichnisser op der selwechter Websäit ze bruten, oder fir déi resultéierend Hashes mat Hashcat oder John the Ripper ze attackéieren. Nëtzlech wann Dir eng "Zil" Lëscht vu potenzielle Passwierder zesummestellt.

Pros:

• Einfach ze benotzen.

Muecht:

• Dir musst virsiichteg sinn mat der Sichtiefe fir net en extra Domain z'erreechen.

Schwaachpass

Schwaachpass - e Service dee vill Dictionnairen mat eenzegaartege Passwierder enthält. Extrem nëtzlech fir verschidden Aufgaben am Zesummenhang mam Passwuertkraaft, rangéiert vun einfacher Online Brute Kraaft vu Konten op Zilservicer, bis Off-Line Brute Kraaft vu kritt Hashes benotzt hashcat oder John The Ripper. Et enthält ongeféier 8 Milliarde Passwuert rangéiert vu 4 bis 25 Zeechen an der Längt.

Pros:

• Enthält souwuel spezifesch Dictionnairen wéi Dictionnairen mat de meescht üblech Passwierder - Dir kënnt e spezifescht Wierderbuch fir Är eegen Bedierfnesser wielen;
• Dictionnairen ginn aktualiséiert a mat neie Passwierder ersat;
• Dictionnairen ginn no Effizienz zortéiert. Dir kënnt d'Optioun wielen fir béid séier online brute Kraaft an eng detailléiert Auswiel vu Passwierder aus engem voluminöse Wierderbuch mat de leschte Leck;
• Et gëtt e Rechner deen d'Zäit weist déi et brauch fir Passwierder op Ärem Ausrüstung ze bruten.

Mir wëllen Tools fir CMS Kontrollen an enger separater Grupp enthalen: WPScan, JoomScan an AEM Hacker.

AEM_hacker

AEM Hacker ass en Tool fir Schwächen an Adobe Experience Manager (AEM) Uwendungen z'identifizéieren.

Pros:

• Kann AEM Uwendungen aus der Lëscht vun URLen, déi op säin Input ofgeliwwert goufen, identifizéieren;
• Enthält Scripte fir RCE ze kréien andeems Dir eng JSP Shell lued oder SSRF ausnotzt.

JoomScan

JoomScan - e Perl-Tool fir d'Detektioun vu Schwächen ze automatiséieren wann Dir Joomla CMS ofsetzt.

Pros:

• Fähëg Konfiguratiounsfehler a Probleemer mat administrativen Astellungen ze fannen;
• Lëscht Joomla Versiounen an assoziéiert Schwachstelle, ähnlech fir eenzel Komponente;
• Enthält méi wéi 1000 Ausnotzen fir Joomla Komponenten;
• Ausgab vun Finale Berichter an Text an HTML Formater.

WPScan

WPScan - e Tool fir WordPress Site ze scannen, et huet Schwachstelle a sengem Arsenal souwuel fir de WordPress Motor selwer a fir e puer Plugins.

Pros:

• Kapabel fir net nëmmen onsécher WordPress Plugins an Themen ze lëschten, awer och eng Lëscht vu Benotzer an TimThumb Dateien ze kréien;
• Kann brute Force Attacken op WordPress Site maachen.

Muecht:

• Ouni déi entspriechend Astellunge mécht et en onkomplett Set vu Kontrollen, wat täuschend ka sinn.

Am Allgemengen, verschidde Leit léiwer verschidden Handwierksgeschir fir Aarbecht: Si sinn all gutt op hir Manéier, a wat eng Persoun gär huet, passt vläicht guer net fir eng aner. Wann Dir mengt datt mir e puer gutt Utility ongerecht ignoréiert hunn, schreift doriwwer an de Kommentaren!

Source: will.com