Testear seguridad de aplicaciones Web
|
Con una herramienta gratis y bastante eficaz se trata de Sandcat. Entre otras funciones, busca fallos de seguridad sacados de: el Top 20 de SANS, el Top 10 de OWASP y el Top 5 de vulnerabilidades PHP de OWASP.
Sus funciones mas destacadas son:
- Detección de vulnerabilidades a ataques cross-site scriptin.
- Detección de vulnerabilidades SQL Injection.
- Permite definir un rango de direcciones IP para explorar.
- Permite definir múltiples URLs para explorar.
- Permite realizar exploraciones intrusivas y no intrusivas.
- Analiza el archivo robots.txt y Javascript.
- Soporta OSVDB, NVD, CVE y CWE.
Incluye dos módulos que se pueden descargar por separado:
- Syhunt Apache/PHP Hardener para testear la seguridad del servidor Apache.
- Syhunt Log Analysis Tool para analizar los log generados por el servidor web ante ataques.
Top 20 de SANS:
http://www.sans.org/top20/
Top 10 de OWASP:
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Top 5 de vulnerabilidades PHP de OWASP:
http://www.owasp.org/index.php/PHP_Top_5
Mas información y descarga de Sandcat:
http://www.syhunt.com/?section=sandcat
Syhunt Apache/PHP Hardener:
http://www.syhunt.com/?section=hardener
Syhunt Log Analysis Tool:
http://www.syhunt.com/?section=log_analyzer
Les recomiendo una nota muy interesante sobre cambio de paradigma escrito por Abel Lucano, experto en Seguridad
De la consultora de seguridad Globalgate que nos introduce al conocimiento del mundo de seguridad y los sucesos que provocan un
Fuerte cambio de paradigma hoy en día: http://www.01market.com.ar/01news/may08_nota1.html