5 ago 2013

Escáneres de vulnerabilidades Web ¿Cuál es tu preferido? Parte III

Buenas a todos, en el post de hoy continuaremos la cadena “Escáneres de vulnerabilidades Web ¿Cuál es tu preferido?” en la que estamos intentando generar un listado con los mejores productos para auditar aplicaciones de tipo web, según una serie de pruebas de auditoría automáticas realizadas contra el portal de análisis de vulnerabilidades de Badstore.net.Hoy procederemos a probar el producto Websecurity Scanner, incluido en la distribución de auditoría Bugtraq II.Nada más abrir la herramienta se nos presentará la siguiente ventana. Como veis es una de las herramientas más simples que nos encontraremos sobre auditoría web:

 Para realizar un análisis por defecto bastará con introducir la URL del aplicativo a auditar y pulsar la tecla "enter":

A continuación comenzará a evaluar la seguridad del sitio web indicado:

Si todo ha ido correctamente, en un par de minutos nos listará las vulnerabilidades localizadas en badstore.net:

A continuación os listo las vulnerabilidades localizadas:
VulnerabilidadNº de detecciones
SQL Injection5
Path disclosure4
IP disclosure2
Listado directorios2
Autocompletar habilitado1
Email disclosure2
Banner disclosure1
File upload1
Total18

Si comparamos el reporte con los obtenidos con las otras herramientas probadas a lo largo de la cadena, nos localiza menos problemas de seguridad, sin embargo, sí que nos localiza más inyecciones de tipo SQL (entre otras), que por ejemplo la herramienta Vega:

AplicaciónAlertas totalesVulnerabilidades de Inyección SQL
Acunetix11729
W3af536
Vega242
Websecurity Scanner185
Por el momento Acunetix sigue en cabeza, ¿encontraremos una herramienta capaz de desbancarla? Lo sabremos en posteriores entregas :)Saludos!

1 comentario:

  1. [...] Abrimos la semana con nuestra cadena de artículos “Escáneres de vulnerabilidades Web ¿Cuál es tu preferido? Parte III“. [...]

    ResponderEliminar