Cómo detectar si un sitio web tiene vulnerabilidades de seguridad
1. Nikto
Este es un escáner de servidor web de código abierto que puede escanear la web. servidor en busca de vulnerabilidades. Varios elementos están completamente probados. Sus escáneres y complementos se actualizan con frecuencia y de forma automática. Nikto puede probar su servidor web en el menor tiempo posible y esto es muy evidente en sus archivos de registro. Sin embargo, si desea experimentar, también puede respaldar el enfoque anti-SIDA de LibWhisker. Sin embargo, no todas las inspecciones revelarán problemas de seguridad, aunque en la mayoría de los casos así será. Algunos programas proporcionan comprobaciones de sólo información, buscando elementos que no tengan vulnerabilidades de seguridad, aunque el administrador de red o el ingeniero de seguridad no lo sepan.
2. Agente Paros
Este es un programa agente utilizado para evaluar las vulnerabilidades de las aplicaciones de red, es decir, un programa agente de red basado en Java que se utiliza para evaluar las vulnerabilidades de las aplicaciones de red. . Admite edición/visualización dinámica de HTTP/HTTPS para cambiar elementos como cookies y campos de formulario. Incluye un registrador de tráfico de red, un capturador de red, una calculadora de hash y un escáner que prueba ataques comunes a aplicaciones de red.
3.WebScarab:
Puede analizar aplicaciones que se comunican mediante protocolos HTTP y HTTPS. En su forma más simple, WebScarab registra las sesiones que observa y permite a los operadores observar las sesiones de diversas formas. Si necesita observar el funcionamiento de una aplicación basada en el protocolo HTTP(S), WebScarabi lo tiene cubierto. Ya sea para ayudar a los desarrolladores a depurar otros aspectos de los desafíos que enfrentan o para permitir a los profesionales de la seguridad identificar vulnerabilidades, es una gran herramienta.
4.WebInspect:
Este es un potente escáner de aplicaciones web. Esta herramienta de evaluación de seguridad de aplicaciones de SPI Dynamics ayuda a identificar vulnerabilidades conocidas y desconocidas en aplicaciones web. También verifica si el servidor web está configurado correctamente e intenta algunos ataques de red comunes, como inyección de parámetros, secuencias de comandos entre sitios, ataques de cruce de directorios, etc.
5.Whisker/libwhisker:
Libwhisker es un módulo de Perla adecuado para pruebas HTTP. Puede probar servidores HTTP contra muchas vulnerabilidades de seguridad conocidas, especialmente detectando la presencia de CGI peligroso. Whisker es un escáner que utiliza libwhisker.
6.Burpsuite:
Esta es una plataforma integrada que se puede utilizar para atacar aplicaciones web. La suite Burp permite a los atacantes combinar técnicas manuales y automatizadas para enumerar, analizar y atacar aplicaciones web, o explotar vulnerabilidades en estos programas. Varias herramientas de Burp trabajan juntas para compartir información y permitir que las vulnerabilidades descubiertas por una herramienta se conviertan en la base de otra.
7.Wikto:
Se puede decir que esta es una herramienta de evaluación de servidores web que verifica las vulnerabilidades del servidor web. Proporciona muchas de las mismas funciones que Nikto, pero agrega muchas interesantes. características como minero backend y estrecha integración con Google. Está escrito para el entorno MS.NET, pero los usuarios deben registrarse para descargar sus archivos binarios y código fuente.
8. Escáner de vulnerabilidades web Acunetix:
Este es un escáner de vulnerabilidades web de nivel comercial que puede verificar vulnerabilidades en aplicaciones web, como inyección SQL y ataques de secuencias de comandos entre sitios. verificar la longitud de las contraseñas débiles en la página, etc. Tiene una interfaz gráfica de usuario fácil de operar y puede crear informes de auditoría de seguridad de sitios web de nivel profesional.
9.Watchfire AppScan:
Este también es un escáner de vulnerabilidades web de nivel comercial. AppScan proporciona pruebas de seguridad durante todo el ciclo de desarrollo de aplicaciones, simplificando las pruebas de componentes y garantizando la seguridad en las primeras etapas del desarrollo. Busca muchas vulnerabilidades comunes, como ataques de secuencias de comandos entre sitios, vulnerabilidades de división de respuestas HTTP, manipulación de parámetros, manejo de campos implícitos, puertas traseras/opciones de depuración, desbordamientos de búfer y más.
10.N-Stealth:
N-Stealth es un escáner de seguridad de servidores web de nivel comercial. Se actualiza con más frecuencia que algunos escáneres de red gratuitos como Whisker/libwhisker, Nikto, etc. Tenga en cuenta que casi todas las herramientas VA comunes (como Nessus, ISS Internet Scanner, Retina, SAINT, Sara, etc.) incluyen un componente de escaneo web.