21 abril 2010

8 Herramientas de seguridad web comprensivas y gratuitas

Aprovechando la salida de la última versión de Sandcat quería hacer una pequeña recopilación de las aplicaciones más populares y potentes para el análisis de seguridad web gratuitas.

En alguna ocasión he leído comparaciones de estas herramientas con otras que únicamente hacen sus análisis en base a firmas, como por ejemplo Nikto o la versión gratuita de N-Stalker Esta comparación es un error, ya que el enfoque es completamente distinto. Ambas están enfocadas a detectar vulnerabilidades pero las aplicaciones basadas en patrones generalmente tienen bases de datos más amplias y actualizadas que las herramientas comprensivas y por lo tanto son complementarias.

Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix,  que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.

Sandcat Free Edition
URL: http://www.syhunt.com/?n=Sandcat.Sandcat
Descarga: http://www.syhunt.com/?n=Sandcat.Download
Sistema Operativo: Windows




NetSpaker CE
URL: http://www.mavitunasecurity.com/communityedition/
Descarga: http://www.mavitunasecurity.com/communityedition/download/
Sistema Operativo: Windows


Websecurify
URL: http://www.websecurify.com/
Descarga: http://code.google.com/p/websecurify/downloads/list
Sistema Operativo: Windows, Mac OS, Linux



w3af
URL: http://w3af.sourceforge.net/
Descarga: http://sourceforge.net/projects/w3af/files/
Sistema Operativo: Windows, FreeBSD,  Linux





skipfish
URL: http://code.google.com/p/skipfish/
Descarga: http://code.google.com/p/skipfish/downloads/list
Sistema Operativo: Linux



wapiti
URL: http://www.ict-romulus.eu/web/wapiti/home
Descarga: http://www.ict-romulus.eu/web/wapiti/download
Sistema Operativo: Linux 



scrawlr
URL: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
Descarga: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA
Sistema Operativo: Windows



acunetix free edition
URL: http://www.acunetix.com/cross-site-scripting/scanner.htm
Descarga: http://www.acunetix.com/vulnerability-scanner/download.htm
Sistema Operativo: Windows

4 comments :

svoboda dijo...

Yo suelo usar w3af, esta bastante bien, y es fácil de instalar en cualquier sistema. El que tengo ganas de probar por curiosidad es el de Google.

Una pregunta, ¿WebScarab no estaría en esta categoría? Siendo del proyecto OWASP, yo creo que estaría bien tenerla en cuenta. Solo le he echado un vistacillo muy muy rápido, pero lo tengo en tareas pendientes.

Un saludo.

Anónimo dijo...

Muy buena recopilación! Es un ahorro de tiempo y trabajo tenerlas ya ordenaditas para cuando hagan falta no tener que andar buscand.o.

Gracias :)

Alejandro Ramos dijo...

@svoboda: yo creo que nop, WebScarab es un proxy como paros, burp y demás. Está mas enfocado al análisis manual y exhaustivo.

Un saludo!

svoboda dijo...

@Alejandro Ramos: Gracias por la aclaración, como ya dije, está en tareas pendientes. Y algo que no dije antes, buena recopilación.