Todos sabemos la importancia que tiene realizar auditorias de
seguridad a una web y el administrador de la web, debe estar actualizado o conocer
varias herramientas para automatizar dichas auditorias, así que voy a realizar
una lista de estas.
El orden no marca la importancia de las herramientas aquí te dejamos algunas:
VEGA: está muy cuidada en cuanto a interfaz nos referimos GUI, es multiplataforma y esta escrita en Java, es de código abierto bajo una licencia ELP (Eclipse Public License), en cuanto al consumo de recursos he de decir que es muy bajo, la herramienta es gratuita. Después de comentar todo esto no todo iba a ser de color de rosa. ya que he echado en falta, poder generar reportes en PDF o en algún formato en general, también a la hora de detectar cosas muy obvias falla.
En mi opinión la dejaría como una herramienta complementaria no la utilizaría como mi herramienta principal.
SKIPFISH: una de las más veteranas en este terreno, desarrollada por Google escrita en C, sobre esta herramienta, decir que genera bastante ruido, uno de los puntos que más me gustan de esta herramienta es que cuando finaliza el escaneo si le hemos pasado el parámetro -o nos guarda un reporte en formato HTML, este reporte va ordenado por colores del rojo hasta el verde y si pulsamos sobre estos nos mostrarán las URL que son posiblemente vulnerables, ya que como todos sabemos siempre hay falsos positivos.
OWASP ZAP: Es una herramienta de código abierto escrita en Java y disponible en Google code, perteneciente a la organización OWASP. Se puede configurar en modo Proxy y realizar las peticiones manualmente como se puede hacer Burpsuite, si no conoces esta herramienta te recomiendo que veas un post de Followthewhiterabbit o bien que lo haga automáticamente facilitándole la URL y pulsando atacar, los resultados se muestran con banderas de colores. Estas muestran donde han sido encontrados y también como es habitual me he encontrado falsos positivos.
¿Y tu, conoces alguna herramienta la cual te gustaría compartir? déjalo en los comentarios.
El orden no marca la importancia de las herramientas aquí te dejamos algunas:
VEGA: está muy cuidada en cuanto a interfaz nos referimos GUI, es multiplataforma y esta escrita en Java, es de código abierto bajo una licencia ELP (Eclipse Public License), en cuanto al consumo de recursos he de decir que es muy bajo, la herramienta es gratuita. Después de comentar todo esto no todo iba a ser de color de rosa. ya que he echado en falta, poder generar reportes en PDF o en algún formato en general, también a la hora de detectar cosas muy obvias falla.En mi opinión la dejaría como una herramienta complementaria no la utilizaría como mi herramienta principal.
NIKTO
Nikto: es de código abierto bajo una licencia GPL, Nikto realiza un escaneo de todas la vulnerabilidades conocidas, un punto a favor es que también podemos ejecutar NMAP y también puede utilizarse con Metasploit, a Nikto tenemos que conocerlo y afinarlo mucho para que no nos de falsos positivos, los resultados se han de interpretar mediante los siguientes enlaces:
- OSVDB www.osvdb.org
- BUGTRAQ www.securityfocus.com/bid
- CVE www.cve.mitre.org
SKIPFISH: una de las más veteranas en este terreno, desarrollada por Google escrita en C, sobre esta herramienta, decir que genera bastante ruido, uno de los puntos que más me gustan de esta herramienta es que cuando finaliza el escaneo si le hemos pasado el parámetro -o nos guarda un reporte en formato HTML, este reporte va ordenado por colores del rojo hasta el verde y si pulsamos sobre estos nos mostrarán las URL que son posiblemente vulnerables, ya que como todos sabemos siempre hay falsos positivos.¿Y tu, conoces alguna herramienta la cual te gustaría compartir? déjalo en los comentarios.
¡¡¡Saludos y suerte HACKERS!!!
Comentarios
Publicar un comentario