Aprovechando la salida de la última versión de Sandcat quería hacer una pequeña recopilación de las aplicaciones más populares y potentes para el análisis de seguridad web gratuitas.
En alguna ocasión he leído comparaciones de estas herramientas con otras que únicamente hacen sus análisis en base a firmas, como por ejemplo Nikto o la versión gratuita de N-Stalker Esta comparación es un error, ya que el enfoque es completamente distinto. Ambas están enfocadas a detectar vulnerabilidades pero las aplicaciones basadas en patrones generalmente tienen bases de datos más amplias y actualizadas que las herramientas comprensivas y por lo tanto son complementarias.
Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix, que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.
Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix, que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.
Sandcat Free Edition
URL: http://www.syhunt.com/?n=Sandcat.Sandcat
Descarga: http://www.syhunt.com/?n=Sandcat.Download
Sistema Operativo: Windows
NetSpaker CE
URL: http://www.mavitunasecurity.com/communityedition/
Descarga: http://www.mavitunasecurity.com/communityedition/download/
Sistema Operativo: Windows
Websecurify
URL: http://www.websecurify.com/
Descarga: http://code.google.com/p/websecurify/downloads/list
Sistema Operativo: Windows, Mac OS, Linux
w3af
URL: http://w3af.sourceforge.net/
Descarga: http://sourceforge.net/projects/w3af/files/
Sistema Operativo: Windows, FreeBSD, Linux
skipfish
URL: http://code.google.com/p/skipfish/
Descarga: http://code.google.com/p/skipfish/downloads/list
Sistema Operativo: Linux
wapiti
URL: http://www.ict-romulus.eu/web/wapiti/home
Descarga: http://www.ict-romulus.eu/web/wapiti/download
Sistema Operativo: Linux
scrawlr
URL: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
Descarga: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA
Sistema Operativo: Windows
acunetix free edition
URL: http://www.acunetix.com/cross-site-scripting/scanner.htm
Descarga: http://www.acunetix.com/vulnerability-scanner/download.htm
Sistema Operativo: Windows
4 comments :
Yo suelo usar w3af, esta bastante bien, y es fácil de instalar en cualquier sistema. El que tengo ganas de probar por curiosidad es el de Google.
Una pregunta, ¿WebScarab no estaría en esta categoría? Siendo del proyecto OWASP, yo creo que estaría bien tenerla en cuenta. Solo le he echado un vistacillo muy muy rápido, pero lo tengo en tareas pendientes.
Un saludo.
Muy buena recopilación! Es un ahorro de tiempo y trabajo tenerlas ya ordenaditas para cuando hagan falta no tener que andar buscand.o.
Gracias :)
@svoboda: yo creo que nop, WebScarab es un proxy como paros, burp y demás. Está mas enfocado al análisis manual y exhaustivo.
Un saludo!
@Alejandro Ramos: Gracias por la aclaración, como ya dije, está en tareas pendientes. Y algo que no dije antes, buena recopilación.
Publicar un comentario