20 enero 2010

Un vistazo a NetSparker de Mavituna Security


Mavituna Security es una pequeña empresa que desarrolla un producto de análisis de vulnerabilidades web llamado NetSparker  que hemos tenido la suerte de poder evaluar.

La aplicación es bastante más sencilla que sus competidores más directos, como pueden ser los productos de HP WebInspect, de IBM Appscan o incluso la ya más cercana en cuanto a prestaciones Acunetix (otras aplicaciones en Security Wizardry).

Entre sus principales características se anuncia que está libre de reportar falsos positivos, o lo que es lo mismo, identificar como vulnerabilidades peticiones que realmente no lo son. Aunque esta característica tiene truco, ya que las que no puede garantizar como vulnerables las etiqueta como "posibles", para que posteriormente el auditor haga las comprobaciones oportunas.

Los motores soportan la detección de los riesgos más comunes: Inyección SQL , XSS, inclusión local y  remota de ficheros, inyección de comandos, CRLF, archivos obsoletos, código fuente, recursos ocultos, listado de directorios, vulnerabilidades de configuración de los distintos servidores web, etc etc. Pero sin duda el que más destaca y funciona mejor es el  de inyección SQL, que además permite la ejecución de comandos y de sentencias una vez se detecta un parámetro vulnerable.

La siguiente captura muestra la vista general de la aplicación.



A la hora de lanzar un nuevo análisis se permiten seleccionar algunas opciones básicas como los módulos a utilizar, el método de autenticación o el tipo de navegación, permitiendo procesar javascript/ajax.

 

La aplicación dispone de otras opciones que permiten ajustar parámetros para la optimización del rendimiento y funcionamiento general de la herramienta



La ejecución es rápida y visualiza las apariciones según son detectadas, además de la petición HTTP y la respuesta del servidor para la verificación manual o como evidencia del hallazgo. Otra característica interesante es la posibilidad de registrar todas las llamadas (Request Monitor) que se solicitan y que permitirán un posterior análisis en caso de necesidad.

Lanzado sobre la aplicación vulnerable que proporciona HP (http://zero.webappsecurity.com), se observa en  estas  imágenes su funcionamiento:




 

Los informes de resultados se exportan con los formatos XML, PDF o RTF, su detalle técnico es aceptable, aunque únicamente categoriza las vulnerabilidades según su criticidad y se echa en falta las recomendaciones y un apartado de conclusiones ejecutivas.




El precio de NetSparker es competitivo, 600 libras (unos 687€) por una licencia para tres aplicaciones web, 1200 libras (1.374€) para un número ilimitado de aplicaciones y una versión de 9200 libras (10.538€) instalable en más de un equipo.

Finalmente mencionar que existe una metodología desarrollada por WASC que facilita la tarea de la evaluación de aplicaciones para el análisis de seguridad web  y en la cual se detallan puntos de control todos ellos útiles y ponderables.

2 comments :

Anónimo dijo...

SPAM??

Alejandro Ramos dijo...

@Anónimo, por supuesto, por eso el artículo no critica el producto... Por cierto, ¿te lo has leido? Ya solo falta que no se pueda hablar de un producto por ser comercial...