Buenas a todos, en el post de hoy continuaremos la cadena “Escáneres de vulnerabilidades Web ¿Cuál es tu preferido?” en la que estamos intentando generar un listado con los mejores productos para auditar aplicaciones de tipo web, según una serie de pruebas de auditoría automáticas realizadas contra el portal de análisis de vulnerabilidades de Badstore.net.Hoy procederemos a probar el producto Websecurity Scanner, incluido en la distribución de auditoría Bugtraq II.Nada más abrir la herramienta se nos presentará la siguiente ventana. Como veis es una de las herramientas más simples que nos encontraremos sobre auditoría web:
Por el momento Acunetix sigue en cabeza, ¿encontraremos una herramienta capaz de desbancarla? Lo sabremos en posteriores entregas :)Saludos!
Para realizar un análisis por defecto bastará con introducir la URL del aplicativo a auditar y pulsar la tecla "enter":
A continuación comenzará a evaluar la seguridad del sitio web indicado:
Si todo ha ido correctamente, en un par de minutos nos listará las vulnerabilidades localizadas en badstore.net:
A continuación os listo las vulnerabilidades localizadas:Vulnerabilidad | Nº de detecciones |
SQL Injection | 5 |
Path disclosure | 4 |
IP disclosure | 2 |
Listado directorios | 2 |
Autocompletar habilitado | 1 |
Email disclosure | 2 |
Banner disclosure | 1 |
File upload | 1 |
Total | 18 |
Si comparamos el reporte con los obtenidos con las otras herramientas probadas a lo largo de la cadena, nos localiza menos problemas de seguridad, sin embargo, sí que nos localiza más inyecciones de tipo SQL (entre otras), que por ejemplo la herramienta Vega:
Aplicación | Alertas totales | Vulnerabilidades de Inyección SQL |
Acunetix | 117 | 29 |
W3af | 53 | 6 |
Vega | 24 | 2 |
Websecurity Scanner | 18 | 5 |