Auditoria Web automatizada (acunetix, W3AF, VEGA, arachni, IBM AppScan, HP Webinspect, Cenzic, MileSCAN, Netsparker, Klypex, WebSecurify, Qualys


 Dentro de los procesos de auditoria web, siempre es bueno tener una herramienta automatizada, más que todo para las fases de enumeración, es decir que sea un robot el que se encargue de recorrer todo el sitio y que me diga donde hay posibles campos de ingreso para el usuario, algunos van un poco más en profundidad y testean una gran cantidad de fallos que a un auditor puede que se le pase por alto probar, nos reportan y nos verifican.




VEGA

Vega le ayuda a encontrar y corregir secuencias de comandos entre sitios (XSS), inyección de SQL y más.
Resultado de imagen para vega aplicacion de vulnerabilidadVega es un escáner de seguridad web gratuito y de código abierto y una plataforma de pruebas de seguridad web para probar la seguridad de las aplicaciones web. Vega puede ayudarle a encontrar y validar SQL Injection, Cross-Site Scripting (XSS), revelar inadvertidamente información confidencial y otras vulnerabilidades. Está escrito en Java, basado en GUI, y se ejecuta en Linux, OS X y Windows.

Vega incluye un escáner automatizado para pruebas rápidas y un proxy de interceptación para la inspección táctica. El escáner de Vega encuentra XSS (cross-site scripting), inyección de SQL y otras vulnerabilidades. Vega se puede ampliar usando una poderosa API en el lenguaje de la web: Javascript.

Arachni
 
 
Resultado de imagen para ArachniArachni es un framework Ruby de alto rendimiento, modular, destinado a ayudar a los probadores de penetración y a los administradores a evaluar la seguridad de las aplicaciones web modernas.

Es gratis, con su código fuente pública y disponible para su revisión.

Es multiplataforma, soporta todos los principales sistemas operativos (MS Windows, Mac OS X y Linux) y se distribuye a través de paquetes portátiles que permiten un despliegue instantáneo.

Es lo suficientemente versátil como para cubrir una gran cantidad de casos de uso, desde una simple utilidad de escáner de línea de comandos hasta una red global de alto rendimiento de escáneres, una biblioteca Ruby que permite realizar auditorías de secuencias de comandos, una colaboración web multi-usuario multi-scan plataforma. Además, su sencilla API REST hace que la integración sea fácil.

Por último, debido a su entorno de navegador integrado, puede soportar aplicaciones web altamente complicadas que hacen uso intensivo de tecnologías como JavaScript, HTML5, manipulación de DOM y AJAX.
Acunetix

Resultado de imagen para AcunetixAcunetix es el escáner de vulnerabilidad web líder utilizado por las 500 empresas más importantes de la fortuna y ampliamente aclamado para incluir la inyección de SQL más avanzada y la tecnología de escaneo de caja negra XSS. Automáticamente rastrea sus sitios web y realiza black box y técnicas de hacking de caja gris que encuentra vulnerabilidades peligrosas que pueden comprometer su sitio web y datos. 

Pruebas de Acunetix para Inyección de SQL, XSS, XXE, SSRF, Host Header Injection y más de 3000 otras vulnerabilidades de la web. Tiene las técnicas de exploración más avanzadas que generan los falsos positivos menos posibles. La gestión integrada de vulnerabilidades le ayuda a priorizar y gestionar la resolución de vulnerabilidades.

Exploración y análisis en profundidad: 
  • Analiza automáticamente todos los sitios web
  • Tasa de detección más alta de vulnerabilidades con falsos positivos bajos
  • Gestión integrada de vulnerabilidades: priorizar y controlar las amenazas
  • Integración con WAFs populares y Seguidores de problemas
  • Análisis de seguridad de red y herramientas de prueba manual
  • Disponible en premisa y en línea

IBM AppScan 

IBM Security AppScan mejora la seguridad de las aplicaciones web y la seguridad de las aplicaciones móviles, mejora la gestión del programa de seguridad de las aplicaciones y refuerza el cumplimiento normativo. Al escanear las aplicaciones web y móviles antes de la implementación, AppScan le permite identificar vulnerabilidades de seguridad y generar informes y establecer recomendaciones.

w3af, herramienta para detectar vulnerabilidades web

Resultado de imagen para w3af, herramienta para detectar vulnerabilidades webw3af (Web Application Attack and Audit Framework) es una herramienta open source de auditoría que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso.

Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos.
HP Webinspect
Resultado de imagen para HP WebinspectSe trata de una solución que busca mejorar la seguridad de las aplicaciones, replicando ataques que éstas podrían recibir en el mundo real. Estas replicaciones se hacen a través de un proceso de prueba guiado que permite a las organizaciones desarrollar y ofrecer aplicaciones y servicios web seguros.

Cenzic

Es una rama de la Seguridad Informática que se encarga específicamente de la seguridad de sitios web, aplicaciones web yservicios web.
Resultado de imagen para Cenzic
 A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones pero aplicadas específicamente a la World Wide Web. Las aplicaciones, comúnmente son desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby, ASP.NET, JSP, entre otros.
NetSparker 

Mavituna Security es una pequeña empresa que desarrolla un producto de análisis de vulnerabilidades web llamado NetSparker
La aplicación es bastante más sencilla que sus competidores más directos, como pueden ser los productos de HP WebInspect, de IBM Appscan o incluso la ya más cercana en cuanto a prestaciones Acunetix (otras aplicaciones en Security Wizardry).
Entre sus principales características se anuncia que está libre de reportar falsos positivos, o lo que es lo mismo, identificar como vulnerabilidades peticiones que realmente no lo son. Aunque esta característica tiene truco, ya que las que no puede garantizar como vulnerables las etiqueta como "posibles", para que posteriormente el auditor haga las comprobaciones oportunas.
Resultado de imagen para websecurify
websecurify

Es una aplicación multiplataforma que escanea la URL que le indiquemos en busca de vulnerabilidades conocidas, como las de System Path, CRLFI o LFI entre otras.

La aplicación es realmente muy sencilla y solo tenemos que ingresar una URL de nuestro sitio web y luego dejar que Websecurify comience con su tarea de escaneado. Luego podremos ver los informes en pantalla o bien guardarlos en formatos CSV, HTM, XML y JSON para verlos luego.

Debido a su diseño modular, puede ser fácilmente expandida gracias a la utilización de plugins, que pueden ser desarrollados en Java o Python. Además, cada parte o componente de esta herramienta está programada para ser actualizada en forma automática, de modo que al utilizarla sabemos que los escaneos de nuestro sitio web se harán probándolo contra las vulnerabilidades más nuevas conocidas, algo que como sabemos se va modificando todo el tiempo.

Qualys

Resultado de imagen para QualysQualys, Inc. es un proveedor de seguridad en la nube, cumplimiento y servicios relacionados para pequeñas y medianas empresas, así como grandes corporaciones con sede en Redwood Shores, California Fundada en 1999, Qualys fue la primera compañía en ofrecer soluciones de gestión de vulnerabilidades como aplicaciones a través de la web utilizando un modelo de software como servicio (SaaS) y, a partir de 2013, Gartner Group calificó por quinta vez a Qualys de " Positivo "para estos servicios. Ha añadido aplicaciones basadas en la nube y seguridad de aplicaciones web.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Metodología PTES (Penetration Testing Execution Standard).

Imagen
PTES PTES (Penetration Testing Execution Standart) consta de siete (7) secciones principales. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración: Herramientas requeridas Son esos programas, aplicaciones o simplemente instrucciones usadas para efectuar otras tareas de modo más sencillo. En un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instrucción que facilita una tarea, pero también podríamos hablar del hardware o accesorios como herramientas. Recolección de información Recopilación de información de inteligencia competitiva publicada en motores de búsqueda que nos dará una idea del objetivo que estamos estudiando y de las personas que trabajan dentro dela empresa.. Análisis de vulnerabilidades Como su propio nombre ind
Leer más

Auditoría tipo Black box, White box y Gray box.

Imagen
Básicamente existen tres tipos de auditorías a realizar para un testing de penetración  cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes: Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc. Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los s
Leer más

Herramientas (LanGuard, Nessus, OpenVAS, NeXpose, McAfee Vulnerability Manager)

Imagen
LanGuard: Es una galardonada solución de escáner de red y de seguridad, que le permite analizar su red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con el mínimo esfuerzo administrativo, ofreciendo: Administración de actualizaciones. Evaluación de vulnerabilidad. Auditoría de red. Principales características: Administración de actualizaciones para sistemas operativos y aplicaciones Microsoft® y Max OS X. Implementa software a medida y de terceros y actualizaciones en toda la red. Administración de actualizaciones para otras aplicaciones (no Microsoft). Corrección automática de aplicaciones no autorizadas. Conexión a escritorio remoto. Nessus: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. De
Leer más