En este post le presentare algunos Scanners para comprobar las vulnerabilidades de los sitios web y con estas herramientas nos ayudara de mucho para mejorar la seguridad de nuestros servidores.
w3af - Web Application Attack and Audit Framework
w3af (Web Application Attack and Audit Framework) es una herramienta de códigos abiertos de auditoria que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso. Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos
http://w3af.sourceforge.net/#download
Como w3af está escrito en lenguaje Python necesitaremos instalar el intérprete para Windows. Bajamos el instalador del intérprete Python desde aquí:
http://www.python.org/download/
Instalar en Linux:
sudo apt-get install w3af
Subgraph Vega - Web Vulnerability Scanner
Descargar para Windows y Linux:
http://subgraph.com/vega_download.php
Websecurify Scanner
Websecurify Scanner es una solución avanzada de pruebas construida para identificar con rapidez y precisión los problemas de seguridad de aplicaciones web.
Websecurify le ahorra tiempo y dinero mediante la automatización de un proceso tedioso y muy técnico utilizado por los expertos para encontrar las vulnerabilidades.
¿Cuáles son las fortalezas Websecurify’S?
Funciona en todas las plataformas principales. Es elegante, fácil y muy agradable de usar. Es rápido y preciso. Es trivial extensible con tecnologías web comunes. Se actualiza con frecuencia y con el apoyo de un apasionado equipo de ninjas.
Algunas de las características principales de Websecurify:
Disponible para todos los principales sistemas operativos (Windows, Mac OS, Linux) incluyendo los dispositivos móviles (iPhone, Android)
Fácil de usar interfaz de usuario
Construido en apoyo a la internacionalización
Fácilmente extensible con la ayuda de los complementos y plugins
Moduler y diseño reutilizable basado en el Marco de Armamento
Potentes herramientas de pruebas manuales y las instalaciones auxiliares
La potente tecnología de análisis y de exploración
He usado esta maravillosa Tool & los resultados son muy positivos, por lo tanto debemos tomarlo en cuenta cuando querramos realizar una Auditoria Web.
Descargar:
http://www.websecurify.com/
Acunetix Web Vulnerability Scanner V8
Acunetix Web Vulnerability Scanner incluye varias características innovadoras:
Un analizador automático de JavaScript que permite realizar pruebas de seguridad de Ajax y aplicaciones Web 2.0
Dispone de los test más avanzados y profundos de análisis y pruebas de Inyección de SQL y Cross Site Scripting.
El grabador de macros hace que las pruebas sobre los formularios de las áreas protegidas de la Web sean más fáciles.
Diversos tipos de informes, incluidos informes de conformidad VISA PCI.
El analizador de vulnerabilidades, rapidísimo y multitarea, rastrea cientos de miles de páginas con facilidad.
Pruebas de vulnerabilidad de carga automatizada de informes.
Acunetix rastrea y analiza los sitios Web incluyendo el contenido de Flash, AJAX y SOAP
Innovadora Tecnología AcuSensor que permite la exploración precisa de muchas vulnerabilidades.
Análisis de puertos red y alertas contra el servidor Web para complejos controles de seguridad.
Descargar:
http://www.mediafire.com/?m7eif0yq962h8ab
