👽Herramientas de Análisis
Existen numerosas herramientas automáticas para encontrar vulnerabilidades. A continuación se presentan algunas de las principales herramientas para el análisis de vulnerabilidades:
Nessus
Es una de las herramientas más completas y ampliamente utilizada para encontrar vulnerabilidades en sistemas. Hay una sección dedicada solamente a este herramienta:
⚙️pageNessusOpenVAS
Es otra de las herramientas de análisis de vulnerabilidades más utilizadas. También hay una sección en detalle sobre esta herramienta:
OWASP Zap
OWASP Zap (Zed Attack Proxy) es una herramienta de prueba de penetración de código abierto utilizada para encontrar vulnerabilidades en aplicaciones web. ZAP es una herramienta gratuita y se actualiza constantemente con nuevas funciones para detectar vulnerabilidades.
Instalación
Nikto
Nikto es capaz de realizar pruebas de seguridad automatizadas en servidores web y aplicaciones web, incluyendo pruebas de vulnerabilidades comunes como inyecciones SQL, cross-site scripting (XSS), inclusión de archivos locales y otros.
Skipfish
Skipfish es capaz de realizar pruebas automatizadas de seguridad en aplicaciones web, incluyendo pruebas de vulnerabilidades comunes como inyecciones SQL, cross-site scripting (XSS), inclusión de archivos locales y otros. La herramienta también puede realizar pruebas de directorios y archivos, escaneo de puertos y seguimiento de cookies y encabezados.
Además, Skipfish tiene la capacidad de generar informes detallados sobre las vulnerabilidades de seguridad encontradas en la aplicación web evaluada.
Nuclei y Nuclei Templates
Nuclei es una herramienta de código abierto utilizada para realizar pruebas de seguridad automatizadas en aplicaciones web. La herramienta está escrita en Go y se ejecuta en sistemas operativos Linux, Unix y Windows.
Nuclei utiliza plantillas (templates) predefinidas para realizar pruebas de seguridad en diferentes aplicaciones y tecnologías web. Estas plantillas se pueden personalizar o crear desde cero para adaptarse a las necesidades específicas de la evaluación de seguridad.
Usar el flag
-t
para elegir las plantillas que queramos lanzar (ver en el repo todas las plantillas), por defecto lanza todas.
Última actualización