TOP TEN MEJORES HERRAMIENTAS DE SEGURIDAD. (Parte 1).

¿A que llamamos Pruebas de Seguridad?

Las pruebas de seguridad se realizan para garantizar que los datos dentro de un sistema de información estén
protegidos y que usuarios no autorizados no puedan acceder a ellos. Protege las aplicaciones contra malware
grave y otras amenazas imprevistas que pueden fallar.

Las pruebas de seguridad ayudan a descubrir todas las lagunas y debilidades del sistema en la etapa
inicial. Se hace para probar si la aplicación tiene un código de seguridad codificado o no y si los usuarios
no autorizados no pueden acceder a ella.

Las áreas críticas cubiertas principalmente son las siguientes:

• Autenticación.
• Autorización.
• Disponibilidad.
• Confidencialidad.
• No repudio.
• Integridad

Propósito de las pruebas de seguridad:

El objetivo principal de las pruebas de seguridad es identificar la fuga de seguridad y corregirla en
la etapa inicial.
Las pruebas de seguridad ayudan a calificar la estabilidad del sistema actual y también ayudan a
permanecer en el mercado por más tiempo.

Herramientas de prueba de seguridad de código abierto:

1 – Zed Attack Proxy (ZAP).

ASPECTOS DESTACADOS: Proxy interceptor, escáner automatizado, escáner pasivo, escáner de fuerza bruta, fuzzer, escáner de puertos, spider, sockets web, API REST.

ZAP o Zed Attack Proxy es una herramienta de prueba de seguridad de aplicaciones web de código abierto y multiplataforma.
Divulgación de errores de aplicación ZAP se utiliza para encontrar una serie de vulnerabilidades de seguridad en una aplicación web durante el desarrollo y la fase de prueba. Gracias a su GUI intuitiva, Zed Attach Proxy puede ser utilizado con la misma facilidad por principiantes que por expertos. La herramienta de prueba de seguridad admite el acceso a la línea de comandos para usuarios avanzados. Además de ser uno de los proyectos OWASP más famosos, se le otorga el estatus de buque insignia.

2 – Fuzz:

ASPECTOS DESTACADOS: múltiples puntos de inyección con múltiples diccionarios, publicación, encabezados y datos de autenticación fuerza bruta, salida a HTML, fuzzing de cookies, subprocesamiento múltiple, proxy compatibility, compatibilidad con SOCK, compatibilidad con autenticación (NTLM, básica, codificadores múltiples por carga útil, escaneo HEAD (cabeceras).

Wfuzz se usa popularmente para aplicaciones web de fuerza bruta. La herramienta de prueba de seguridad de código abierto no tiene interfaz GUI y solo se puede usar a través de la línea de comandos.

3 – Wapiti.

DESTACADOS de Wapiti: Admite proxies HTTP, HTTPS y SOCKS5, autenticación básica,
implícita, NTLM o GET/POST, actúa como un fuzzer.

Wapiti es un escáner de vulnerabilidades de aplicaciones web. Nos permite auditar la seguridad de sitios web o aplicaciones web. Realiza escaneos de caja negra de la aplicación web rastreando las páginas web de la aplicación web implementada, buscando scripts y formularios donde pueda inyectar datos.

4 – W3af.

ASPECTOS DESTACADOS: compatibilidad con proxy, autenticación HTTP Basic y Digest, falsificación de UserAgent, Agregue encabezados personalizados a las solicitudes, manejo de cookies, caché de respuesta HTTP, caché de DNS, archivo que cargue utilizando un motor fuzzing de varias partes.

W3af es un marco de auditoría y ataque de aplicaciones web. Viene con GUI y consola.

5 – Mapa SQL.

ASPECTOS DESTACADOS: admitir una amplia gama de servicios de bases de datos (incluidos MySQL, Oracle y PostgreSQL), sistemas operativos, técnicas de inyección SQL.

SQLMap es una herramienta de prueba de penetración que permite a los usuarios automatizar el proceso de detección y explotar vulnerabilidades de inyección SQL en la base de datos de un sitio web. Viene con una poderosa detección.

– SEGUIR LA SEGUNDA PARTE –