Herramientas de análisis y seguridad

En Techbeacon crearon una lista de herramientas de código abierto dedicadas a análisis de aplicaciones web. Algunos de estos proyectos son muy activos y se actualizan con frecuencia con nuevas capacidades, algunas «gratis» o «ediciones de la comunidad» y otras tienen versiones comerciales más completas:

Andiparos
Es la versión mejorada del Paros proxy, pero a parte de traer las funcionalidades de Paros proxy, tiene nuevas opciones de auditoría en aplicaciones web como el “Spider” que permite hacer un crawling completo del sitio web en base a las peticiones GET o POST que se vayan encontrando en el sitio web. [ Más info ]

Arachni
Es una herramienta que permite realizar auditorías de seguridad sobre aplicaciones web. [ Más info ]

BackTrack
Distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad informática que incluye una larga lista de herramientas de seguridad aptas para el uso, entre las que destacan numerosos escaneadores de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. [ Más info ]

BeEF
Es una herramienta bastante útil y completa para automatizar ataques XSS contra clientes de aplicaciones web vulnerables, consiste en el uso de vectores de ataque XSS clásicos de forma automatizada, donde BeEf, controla a todas las víctimas de este tipo de ataques y permite ejecutar diferentes tipos de payloads contra el objetivo, ademas de capturar información sobre la víctima, tales como sistema operativo utilizado, navegador, dirección IP, cookies, entre otra información valiosa. [ Más info ]

Caja
Es una herramienta para crear HTML, CSS y JavaScript seguro para incrustarlo en sitios web, utilizando un modelo de seguridad de capacidad de objetos que permite una amplia gama de políticas de seguridad flexibles. [ Más info ]

ClamAV
Es un antivirus open source para plataformas Windows, GNU/Linux, BSD, Solaris, Mac OS X y otros sistemas operativos semejantes a Unix. [ Más info ]

DOM Snitch
Es un complemento para Google Chrome de código abierto que que trata de identificar aplicaciones Web que pueden ser peligrosas al ser ejecutadas en un navegador, permitiendo así a desarrolladores y testers identificar prácticas inseguras utilizadas con frecuencia en los programas del lado del cliente. [ Más info ]

Ettercap
Es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS).
Free software framework for security testing. [ Más info ]

Google hacking database (GHDB)
Es una técnica en informática que utiliza operadores para filtrar información en el buscador de Google. Es decir, una técnica que utiliza el mejor buscador del mundo para encontrar aplicaciones web vulnerables a ciertos tipos de ataque o utilizar la información obtenida para mejorar la eficiencia de ataques pre-configurados. [ Más info ]

Google application security tools
Son herramientas diseñadas para personas que trabajan o están interesadas en el campo de la seguridad de la información. Pueden requerir algunos ajustes menores o compilación para poder trabajar con ellas. [ Más info ]

Grabber
Es un escáner que detecta vulnerabilidades en aplicaciones web, tales como foros, etc. [ Más info ]

Grendel
Herramienta para el análisis de seguridad automatizada de aplicaciones web. [ Más info ]

Gruyere
Es un laboratorio de programación que muestra cómo evitar vulnerabilidades en las aplicaciones web y cómo defenderse de posibles ataques. [ Más info ]

Kali
Es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoria y seguridad informática en general. Kali Linux trae preinstalados más de 600 programas incluyendo un escáner de puertos, un sniffer, un crackeador de passwords y un software para pruebas de seguridad en redes inalámbricas. Puede ser usado desde un Live CD, live-usb y también puede ser instalada como sistema operativo principal. [ Más info ]

Keyczar
Es una herramienta Open Source, desarrollada por Google, que implementa cifrado y autentificación para claves públicas. Tiene implementaciones para Java y Python.[ Más info ]

Kismet
Es un sistema de detección de intrusiones para redes inalámbricas 802.11 que funciona con cualquier tarjeta inalámbrica que soporte el modo de monitorización raw, y puede rastrear tráfico 802.11b, 802.11a, 802.11g y 802.11n. [ Más info ]

Malwarebytes
Es un programa antimalware que protege el PC de virus, troyanos y programas maliciosos. Hay versión de prueba y de pago. [ Más info ]

Metasploit
Es una herramienta algo compleja de penetración de código libre, que cuenta con la mayor base de datos de exploits públicos y probados. Se utiliza para detectar las vulnerabilidades de sistemas, para protegerlos o usar esas vulnerabilidades para obtener acceso a sistemas remotos. [ Más info ]

ModSecurity
Es un firewall de aplicaciones Web que se ejecuta como módulo del servidor web Apache, provee protección contra diversos ataques hacia aplicaciones Web y permite monitorizar tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente. [ Más info ]

Nagios
Es un sistema de monitorización de redes de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. [ Más info ]

Native Client (NaCl)
Es un mecanismo que permite la ejecución de aplicaciones web en código nativo, directamente sobre el procesador. [ Más info ]

Nikto2
Es una herramienta de escaneo de servidores web que se encarga de efectuar diferentes tipos de actividades tales como, detección de malas configuraciones y vulnerabilidades en el servidor objetivo, detección de ficheros en instalaciones por defecto, listado de la estructura del servidor, versiones y fechas de actualizaciones de servidores, tests de vulnerabilidades XSS, ataques de fuerza bruta por diccionario, reportes en formatos txt, csv, html, etc. [ Más info ]

Nmap
Es un programa de código abierto que sirve para efectuar rastreo de puertos. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. [ Más info ]

NoScript
Es una extensión libre y de fuente abierta para Mozilla Firefox, SeaMonkey, Flock y navegadores web basados en Mozilla. NoScript bloquea la ejecución de Javascript, Java, Flash, Silverlight, y otros plugins y contenidos de scripts. [ Más info ]

OpenSSH
Es un conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH. [ Más info ]

OpenVAS
Es un software que ofrece un marco de trabajo para integrar servicios y herramientas especializadas en el escaneo y gestión de vulnerabilidades de seguridad de sistemas informáticos. [ Más info ]

OSSEC
Es un proyecto open source de gestión de Logs, que monitoriza una máquina, y que detecta las anomalías que puedan producirse en ella. [ Más info ]

OWASP
Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. [ Más info ]

Packet Storm
Es una herramienta de auditoría para Unix que escanea el sistema y el software disponible para detectar problemas de seguridad. [ Más info ]

Paros Proxy
Es una aplicación de Java que ayuda a evaluar la seguridad de tus aplicaciones web. [ Más info ]

Powerfuzzer
Es un software que permite crear tests personalizados en aplicaciones Web con la intención de detectar agujeros, como Código de páginas cruzadas (XSS), Inyecciones (SQL, LDAP, código, comandos, y XPATh), CRLF y Estados HTTP 500. [ Más info ]

Ratproxy
Herramienta de Google que permite auditar sitios web en busca de fallos de seguridad, como XSS, scripts cross-domain, problemas en el cache y un largo etcétera. [ Más info ] 

Secunia PSI
Software que analiza el sistema y presenta un informe sobre el estado de actualización de todos los programas, cuando se detectan programas desactualizados Secunia PSI lo informa y proporciona el link directo para descargar su última versión. [ Más info ]

Security Onion
Es una distribución de Linux para la detección de intrusos, control de seguridad de la red y de gestión de registros. Está basado en Ubuntu y contiene Snort, Suricata, Bro, OSSEC, Sguil, Squert, ELSA, Xplico, NetworkMiner, y muchas otras herramientas de seguridad. [ Más info ]

Skipfish
Es una herramienta extremadamente rápida desarrollada por empleados de Google para analizar algunas vulnerabilidades de un sitio web como ataques por fuerza bruta utilizando una combinación de diccionarios pre-armados y diccionarios generados automáticamente para el sitio bajo análisis, pruebas de inyección de SQL, y varios tipos más de análisis. [ Más info ]

Snort
Es un sniffer de paquetes y un detector de intrusos basado en red que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. [ Más info ]

SonarQube
Es una plataforma para evaluar código fuente. Es software libre y usa diversas herramientas de análisis estático de código fuente como Checkstyle, PMD o FindBugs para obtener métricas que pueden ayudar a mejorar la calidad del código de nuestros programas. Además, tiene soporte para más de 20 lenguajes de programación entre los que se encuentran Java, C#, C / C++, PL / SQL, Cobol, ABAP, Python, JavaScript… [ Más info ]

SQLMap
Es una herramienta desarrollada en python para realizar inyección de código sql automáticamente. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. [ Más info ]

Tcpdump
Es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado. [ Más info ]

Vega
Es una plataforma libre y abierta escáner de código y pruebas para probar la seguridad de las aplicaciones web. [ Más info ]

W3AF
Es una herramienta open source de auditoría que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso. [ Más info ]

Wapiti
Herramienta que permite auditar la seguridad de sus aplicaciones web. [ Más info ]

WATOBO
Una alternativa que podemos utilizar a la hora de realizar la auditoria web. Su funcionamiento es el mismo del que vendría siendo el de un un proxy local y también permite disponer de controles activos o pasivos los cuales nos dan la posibilidad de configurar el nivel de agresión. Los controles pasivos son utilizados básicamente para reunir información útil, como direcciones IP o correos electrónicos, entre otros. [ Más info ]

WebScarab
Es un marco de trabajo para analizar aplicaciónes web que se comunica usando los protocolos HTTP y HTTPS. Esta escrito en Java, por lo que es portable a muchas plataformas. [ Más info ]

Websecurify
Es una aplicación multiplataforma que escanea la URL que le indiquemos en busca de vulnerabilidades conocidas, como las de System Path, CRLFI o LFI entre otras. [ Más info ]

Wfuzz
Es una herramienta diseñada por edge-security para la fuerza bruta aplicaciones web, que puede ser utilizado para la búsqueda de recursos no vinculados (directorios, servlets, scripts, etc), fuerza bruta GET y POST, los parámetros para el control de diferentes tipos de inyecciones (SQL, XSS, LDAP, etc), bruteforce Formularios parámetros (usuario/contraseña), fuzzing, etc. [ Más info ]

Wireshark
Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones. [ Más info ]

Zed Attack Proxy
Es una herramientas de seguridad gratuita desarrollada por voluntarios internacionales con el fin de ayudar a encontrar vulnerabilidades de seguridad en aplicaciones web. [ Más info ]

Fuente: http://techbeacon.com/
¿Te gustó este artículo? Compártelo!Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *