LUK
06-05-2010, 10:58
Aprovechando la salida de la última versión de Sandcat (http://www.syhunt.com/?n=Sandcat.Sandcat) quería hacer una pequeña recopilación de las aplicaciones más populares y potentes para el análisis de seguridad web gratuitas.
En alguna ocasión he leído comparaciones de estas herramientas con otras que únicamente hacen sus análisis en base a firmas, como por ejemplo Nikto (http://cirt.net/nikto2) o la versión gratuita de N-Stalker (http://community.nstalker.com/downloads) Esta comparación es un error, ya que el enfoque es completamente distinto. Ambas están enfocadas a detectar vulnerabilidades pero las aplicaciones basadas en patrones generalmente tienen bases de datos más amplias y actualizadas que las herramientas comprensivas y por lo tanto son complementarias.
Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix, que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.
Sandcat Free Edition
URL: http://www.syhunt.com/?n=Sandcat.Sandcat
Descarga: http://www.syhunt.com/?n=Sandcat.Download
Sistema Operativo: Windows
http://1.bp.blogspot.com/_LztS6-97iyY/S86_KZaTnrI/AAAAAAAAFkM/GFqgo5YyYqc/s400/ss002.png (http://1.bp.blogspot.com/_LztS6-97iyY/S86_KZaTnrI/AAAAAAAAFkM/GFqgo5YyYqc/s1600/ss002.png)
NetSpaker CE
URL: http://www.mavitunasecurity.com/communityedition/
Descarga: http://www.mavitunasecurity.com/communityedition/download/
Sistema Operativo: Windows
http://4.bp.blogspot.com/_LztS6-97iyY/S86_YbUWG_I/AAAAAAAAFkU/n-RcRRe5CFE/s320/5.PNG (http://4.bp.blogspot.com/_LztS6-97iyY/S86_YbUWG_I/AAAAAAAAFkU/n-RcRRe5CFE/s1600/5.PNG)
Websecurify
URL: http://www.websecurify.com/
Descarga: http://code.google.com/p/websecurify/downloads/list
Sistema Operativo: Windows, Mac OS, Linux
http://2.bp.blogspot.com/_LztS6-97iyY/S86_sWMsTFI/AAAAAAAAFkc/7XqA7IdKyS8/s320/shot-2010-02-06-03.png (http://2.bp.blogspot.com/_LztS6-97iyY/S86_sWMsTFI/AAAAAAAAFkc/7XqA7IdKyS8/s1600/shot-2010-02-06-03.png)
w3af
URL: http://w3af.sourceforge.net/
Descarga: http://sourceforge.net/projects/w3af/files/
Sistema Operativo: Windows, FreeBSD, Linux
http://3.bp.blogspot.com/_LztS6-97iyY/S86_6rboVKI/AAAAAAAAFkk/4jBzcunY6L4/s320/n6f1o5.jpg (http://3.bp.blogspot.com/_LztS6-97iyY/S86_6rboVKI/AAAAAAAAFkk/4jBzcunY6L4/s1600/n6f1o5.jpg)
skipfish
URL: http://code.google.com/p/skipfish/
Descarga: http://code.google.com/p/skipfish/downloads/list
Sistema Operativo: Linux
http://2.bp.blogspot.com/_LztS6-97iyY/S87AjV2wCEI/AAAAAAAAFks/_JKsqripa2w/s320/skipfish-screen.png (http://2.bp.blogspot.com/_LztS6-97iyY/S87AjV2wCEI/AAAAAAAAFks/_JKsqripa2w/s1600/skipfish-screen.png)
wapiti
URL: http://www.ict-romulus.eu/web/wapiti/home
Descarga: http://www.ict-romulus.eu/web/wapiti/download
Sistema Operativo: Linux
http://3.bp.blogspot.com/_LztS6-97iyY/S87ArQ_RDnI/AAAAAAAAFk0/K8farfueOH4/s320/image_gallery.jpg (http://3.bp.blogspot.com/_LztS6-97iyY/S87ArQ_RDnI/AAAAAAAAFk0/K8farfueOH4/s1600/image_gallery.jpg)
scrawlr
URL: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
Descarga: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA
[/URL]Sistema Operativo: Windows
[URL="http://3.bp.blogspot.com/_LztS6-97iyY/S87Axrqo6MI/AAAAAAAAFk8/Urt9Rarxrn0/s1600/scrawlr.jpg-550x0.jpg"]http://3.bp.blogspot.com/_LztS6-97iyY/S87Axrqo6MI/AAAAAAAAFk8/Urt9Rarxrn0/s320/scrawlr.jpg-550x0.jpg (http://www.ict-romulus.eu/web/wapiti/home)
acunetix free edition
URL: http://www.acunetix.com/cross-site-scripting/scanner.htm
Descarga: http://www.acunetix.com/vulnerability-scanner/download.htm
Sistema Operativo: Windows
http://4.bp.blogspot.com/_LztS6-97iyY/S87A-7RcqcI/AAAAAAAAFlM/nAT5r-pisy4/s320/acunetix.jpg (http://4.bp.blogspot.com/_LztS6-97iyY/S87A-7RcqcI/AAAAAAAAFlM/nAT5r-pisy4/s1600/acunetix.jpg)
Fuente: http://www.securitybydefault.com/2010/04/8-herramientas-de-seguridad-web.html
En alguna ocasión he leído comparaciones de estas herramientas con otras que únicamente hacen sus análisis en base a firmas, como por ejemplo Nikto (http://cirt.net/nikto2) o la versión gratuita de N-Stalker (http://community.nstalker.com/downloads) Esta comparación es un error, ya que el enfoque es completamente distinto. Ambas están enfocadas a detectar vulnerabilidades pero las aplicaciones basadas en patrones generalmente tienen bases de datos más amplias y actualizadas que las herramientas comprensivas y por lo tanto son complementarias.
Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix, que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.
Sandcat Free Edition
URL: http://www.syhunt.com/?n=Sandcat.Sandcat
Descarga: http://www.syhunt.com/?n=Sandcat.Download
Sistema Operativo: Windows
http://1.bp.blogspot.com/_LztS6-97iyY/S86_KZaTnrI/AAAAAAAAFkM/GFqgo5YyYqc/s400/ss002.png (http://1.bp.blogspot.com/_LztS6-97iyY/S86_KZaTnrI/AAAAAAAAFkM/GFqgo5YyYqc/s1600/ss002.png)
NetSpaker CE
URL: http://www.mavitunasecurity.com/communityedition/
Descarga: http://www.mavitunasecurity.com/communityedition/download/
Sistema Operativo: Windows
http://4.bp.blogspot.com/_LztS6-97iyY/S86_YbUWG_I/AAAAAAAAFkU/n-RcRRe5CFE/s320/5.PNG (http://4.bp.blogspot.com/_LztS6-97iyY/S86_YbUWG_I/AAAAAAAAFkU/n-RcRRe5CFE/s1600/5.PNG)
Websecurify
URL: http://www.websecurify.com/
Descarga: http://code.google.com/p/websecurify/downloads/list
Sistema Operativo: Windows, Mac OS, Linux
http://2.bp.blogspot.com/_LztS6-97iyY/S86_sWMsTFI/AAAAAAAAFkc/7XqA7IdKyS8/s320/shot-2010-02-06-03.png (http://2.bp.blogspot.com/_LztS6-97iyY/S86_sWMsTFI/AAAAAAAAFkc/7XqA7IdKyS8/s1600/shot-2010-02-06-03.png)
w3af
URL: http://w3af.sourceforge.net/
Descarga: http://sourceforge.net/projects/w3af/files/
Sistema Operativo: Windows, FreeBSD, Linux
http://3.bp.blogspot.com/_LztS6-97iyY/S86_6rboVKI/AAAAAAAAFkk/4jBzcunY6L4/s320/n6f1o5.jpg (http://3.bp.blogspot.com/_LztS6-97iyY/S86_6rboVKI/AAAAAAAAFkk/4jBzcunY6L4/s1600/n6f1o5.jpg)
skipfish
URL: http://code.google.com/p/skipfish/
Descarga: http://code.google.com/p/skipfish/downloads/list
Sistema Operativo: Linux
http://2.bp.blogspot.com/_LztS6-97iyY/S87AjV2wCEI/AAAAAAAAFks/_JKsqripa2w/s320/skipfish-screen.png (http://2.bp.blogspot.com/_LztS6-97iyY/S87AjV2wCEI/AAAAAAAAFks/_JKsqripa2w/s1600/skipfish-screen.png)
wapiti
URL: http://www.ict-romulus.eu/web/wapiti/home
Descarga: http://www.ict-romulus.eu/web/wapiti/download
Sistema Operativo: Linux
http://3.bp.blogspot.com/_LztS6-97iyY/S87ArQ_RDnI/AAAAAAAAFk0/K8farfueOH4/s320/image_gallery.jpg (http://3.bp.blogspot.com/_LztS6-97iyY/S87ArQ_RDnI/AAAAAAAAFk0/K8farfueOH4/s1600/image_gallery.jpg)
scrawlr
URL: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
Descarga: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA
[/URL]Sistema Operativo: Windows
[URL="http://3.bp.blogspot.com/_LztS6-97iyY/S87Axrqo6MI/AAAAAAAAFk8/Urt9Rarxrn0/s1600/scrawlr.jpg-550x0.jpg"]http://3.bp.blogspot.com/_LztS6-97iyY/S87Axrqo6MI/AAAAAAAAFk8/Urt9Rarxrn0/s320/scrawlr.jpg-550x0.jpg (http://www.ict-romulus.eu/web/wapiti/home)
acunetix free edition
URL: http://www.acunetix.com/cross-site-scripting/scanner.htm
Descarga: http://www.acunetix.com/vulnerability-scanner/download.htm
Sistema Operativo: Windows
http://4.bp.blogspot.com/_LztS6-97iyY/S87A-7RcqcI/AAAAAAAAFlM/nAT5r-pisy4/s320/acunetix.jpg (http://4.bp.blogspot.com/_LztS6-97iyY/S87A-7RcqcI/AAAAAAAAFlM/nAT5r-pisy4/s1600/acunetix.jpg)
Fuente: http://www.securitybydefault.com/2010/04/8-herramientas-de-seguridad-web.html