24 jul 2013

Auditando aplicativos web con Vega

Buenas a todos, en el post hoy nos gustaría hablaros de la herramienta Vega. Una alternativa Open Source al conocido Acunetix, que viene incluida en la distribución de linux orientada a seguridad de nuestros amigos del Bugtraq Team.

Vega puede ayudarnos a localizar y validar inyecciones de tipo SQL, Cross-Site Scripting (XSS), escalado de directorias y muchas otras vulnerabilidades.

Se encuentra programado en Java, lo que permite que funcione bajo las principales plataformas del mercado, Windows, Linux y OS X. Una de sus características más interesantes es que sus funcionalidades pueden ampliarse mediante una API, que nos permitirá desarrollar módulos en lenguaje Javascript.

Nada más abrir la herramienta nos encontraremos con una interfaz muy sencilla de manejar y que juega con un sistema de ventanas clásico y funcional:

Para ilustrar el uso y capacidades de Vega probaremos a auditar la seguridad de la distribución Badstore.net, tal y como hemos hecho en otras ocasiones:

Para comenzar un análisis pulsaremos sobre el botón con una diana roja y se nos abrirá la siguiente ventana. En ella indicaremos la URL que deseamos escanear:

Si pulsamos en "Finish", comenzará a escanear el sitio web con los parámetros básicos, pero si pulsamos sobre "Next", nos permitirá configurar el proceso de auditoría, modificando entre otros, los tipos de vulnerabilidades que intentará localizar, variables a utilizar para las búsquedas por "fuzzing", cookies, etc:

Tras pulsar en "Finish" comenzará el análisis:

Una vez finalizado nos mostrará de una manera muy similar a Acunetix el resumen de las alertas generadas:

Y nos brindará detalles sobre cada una de las vulnerabilidades:

Sin duda otra herramienta interesante para tener a mano en un proceso de auditoría web :)

Saludos!

3 comentarios:

  1. [...] Buenas a todos, en el post hoy nos gustaría hablaros de la herramienta Vega. Una alternativa Open Source al conocido Acunetix, que viene incluida en la distribución de linux orientada a seguridad de nuestros amigos del Bugtraq Team.Vega puede ayudarnos a localizar y validar inyecciones de tipo SQL, Cross-Site Scripting (XSS), escalado de directorias y muchas otras vulnerabilidades.  [...]

    ResponderEliminar
  2. [...] http://www.flu-project.com/auditando-aplicativos-web-con-vega.html [...]

    ResponderEliminar