29 jul 2013

Escáneres de vulnerabilidades Web ¿Cuál es tu preferido? Parte II

Buenas a todos, en el post de hoy continuaremos la cadena "Escáneres de vulnerabilidades Web ¿Cuál es tu preferido?" que comenzamos hace algún tiempo, para intentar establecer un listado con los mejores productos para auditar aplicaciones de tipo web. Para realizar las pruebas, establecimos como software vulnerable para realizar las prácticas a la distribución Badstore.net, de la que ya hemos hablado largo y tendido.
Hasta el momento, hemos probado los productos Acunetix y W3af, y hoy toca el turno a la herramienta Vega, y de la que hablamos la semana pasada.
Para realizar la prueba, arrancaremos la distribución Badstore y realizaremos un escaneo "por defecto". Tras 5 minutos de análisis la herramienta Vega nos devuelve el siguiente reporte:

Como veis, Vega nos proporciona 24 alertas, de las cuales solamente 2 nos presentan posibles inyecciones de tipo SQL.
A continuación os mostramos un cuadro resumen con los reportes que nos han ido devolviendo todas las herramientas sometidas a los procesos de pruebas:
AplicaciónAlertas totalesVulnerabilidades de Inyección SQL
Acunetix11729
W3af536
Vega242
Por el momento parece que Acunetix gana sobradamente, seguida de lejos por W3af, próximamente realizaremos las pruebas con otros productos e iremos ampliando nuestra tabla.
Saludos!

1 comentario:

  1. [...] la semana rescatando la cadena de artículos “Escáneres de vulnerabilidades Web ¿Cuál es tu preferido? Parte II“, con el objetivo de generar una tabla resumen con las mejores herramientas para auditar [...]

    ResponderEliminar