Wikto es una herramienta enfocada más a footprint que a análisis de vulnerabilidades, ya que se centra en la búsqueda de ficheros y directorios. Sin embargo, es capaz de localizar algunas vulnerabilidades como por ejemplo, las de tipo HTML injection, por lo que hemos decidido incluirla en la lista de utilidades a analizar contra Badstore.
Su uso es muy sencillo, y cuenta con un sencillo Wizard para configurar los escaneos de vulnerabilidades:
Sin embargo, la opción que más nos interesa hoy se encuentra en la pestaña Wikto, y en la cual tendremos que cargar la BBDD de vulnerabilidades de Nikto, y pulsar sobre el botón Scan:
Cuando finalice el análisis podremos exportar los resultados a formato CSV para verlos más claramente:
Como se puede ver, Wikto nos ha reportado con la BBDD de Nikto un total de 13 vulnerabilidades, entre las cuales se encuentran varias de inyección de código XSS y HTML, listados de directorios, etc., pero ninguna de tipo inyección de código SQL.
A continuación actualizaremos la lista de herramientas con la nueva información:
Aplicación | Alertas totales | Vulnerabilidades de Inyección SQL |
Acunetix | 117 | 29 |
W3af | 53 | 6 |
Vega | 24 | 2 |
Websecurity Scanner | 18 | 5 |
Wikto | 13 | 0 |
Webcruiser | 5 | 2 |