Pruebas de software: herramientas de prueba de seguridad

Las pruebas de seguridad son un tipo de prueba de software que identifica las fallas del sistema y garantiza que los datos y los recursos del sistema estén protegidos contra intrusos. Asegura que el sistema de software y la aplicación estén libres de peligros o riesgos que puedan resultar en la pérdida de datos. Las pruebas de seguridad de cualquier sistema tienen como objetivo identificar todas las fallas y debilidades concebibles que podrían conducir a la pérdida de datos o la reputación de la organización. 

Las siguientes son algunas de las herramientas de prueba de seguridad:

1. Proxy de ataque Zed (ZAP)
2. SonarQube
3. wapití
4. Provocador de redes
5. arácnidos
6. Avispa de hierro
7. Ladrón
8. Mapa SQL
9. wfuzz
10. W3af

1. Proxy de ataque Zed (ZAP)

ZAP, o Zed Attack Proxy, es una herramienta de prueba de seguridad de aplicaciones en línea de código abierto y multiplataforma desarrollada por OWASP (Open Web Application Security Project). Durante las fases de desarrollo y prueba de una aplicación web, ZAP se usa para descubrir una variedad de fallas de seguridad. Zed Attack Proxy puede ser utilizado tanto por principiantes como por expertos gracias a su interfaz fácil de usar. Los usuarios avanzados pueden utilizar la herramienta de prueba de seguridad con acceso a la línea de comandos. Ha sido designado como proyecto insignia, además de ser uno de los proyectos OWASP más conocidos. ZAP es una aplicación Java. Además de ser un escáner, ZAP también puede usarse para interceptar un proxy y probar una página web manualmente. ZAP revela:

• Divulgación de errores de aplicación
• Bandera de Cookie no HttpOnly
• inyección SQL
• Divulgación de errores de aplicación
• inyección XSS
• Faltan tokens anti-CSRF y encabezados de seguridad
• Divulgación de IP privada
• Bandera de Cookie no HttpOnly
• ID de sesión en reescritura de URL

Características clave:

• Para usuarios avanzados, admitirá el acceso a la línea de comandos.
• Tiene la capacidad de ser utilizado como un escáner.
• Realizará el escaneo de aplicaciones web automáticamente.
• Funciona con una variedad de sistemas operativos, incluidos Windows, OS X y Linux.
• Aprovecha las arañas AJAX, que son poderosas y antiguas.

2. SonarQube

Sonar Source creó esta herramienta de seguridad de código abierto. Se utiliza para verificar la calidad del código y ejecutar revisiones automáticas en aplicaciones web escritas en varios lenguajes de programación, como Java , C# , JavaScript , PHP , Ruby, Cobol, C / C++ , etc. mediante el descubrimiento de errores, análisis de código y exposiciones de seguridad. El lenguaje de programación Java se utiliza para crear la utilidad SonarQube. Producirá informes sobre la cobertura del código, la complejidad del código, la repetición del código, las fallas de seguridad y los errores. Proporciona un análisis completo utilizando una variedad de herramientas como Ant, Maven, Gradle, Jenkins y otras.

Características clave:

• Utilizará los complementos de SonarLint para interactuar con una variedad de entornos de desarrollo, incluidos Visual Studio, Eclipse e IntelliJ IDEA.
• También se admiten tecnologías externas como GitHub, LDAP y Active Directory.
• Puede realizar un seguimiento del historial de métricas y proporcionar gráficos de evolución.
• Nos ayudará a identificar los problemas más complicados.
• Garantizará la seguridad de la aplicación.

3. Wapití

Wapiti es un proyecto gratuito de código abierto de SourceForge y es una de las principales herramientas de prueba de seguridad de aplicaciones web. Wapiti utiliza pruebas de caja negra para buscar vulnerabilidades de seguridad en las aplicaciones en línea. Debido a que Wapiti es una herramienta de línea de comandos, se requiere familiaridad con los diversos comandos. Wapiti es fácil de usar para usuarios experimentados, pero puede ser un desafío para los novatos. Pero no te preocupes; todas las instrucciones de Wapiti se pueden encontrar en la documentación oficial. Wapiti inyecta cargas útiles en los scripts para ver si son vulnerables. Los métodos de ataque GET y POST HTTP son compatibles con la herramienta de prueba de seguridad de código abierto. Wapiti expone las siguientes vulnerabilidades:

• Detección de ejecución de comandos
• Inyección CRLF
• inyección de base de datos
• Divulgación de archivos
• Error de Shellshock o Bash
• SSRF (falsificación de solicitud del lado del servidor)
• Configuraciones débiles de .htaccess que se pueden omitir
• inyección XSS
• inyección XXE

Características clave:

• Permite varios tipos de autenticación, como Kerberos y NTLM.
• Incluye un módulo buster que le permite forzar directorios y nombres de archivos en el servidor web al que se dirige.
• Funciona de la misma manera que lo haría un fuzzer.
• Los ataques pueden llevarse a cabo usando los protocolos GET y POST HTTP.

4. Provocador de redes

Se utiliza para detectar las vulnerabilidades de la aplicación web de forma única, así como para verificar si las debilidades de la aplicación son correctas o erróneas. Es un programa de Windows que es fácil de usar. Podemos realizar evaluaciones automáticas de vulnerabilidades y abordar vulnerabilidades con la ayuda de esta solución, evitando métodos humanos que consumen muchos recursos. Netsparker es un escáner de seguridad de aplicaciones en línea automatizado que le permite escanear sitios web, aplicaciones web y servicios web en busca de problemas de seguridad sin dejar de ser totalmente personalizable. Netsparker es capaz de escanear cualquier aplicación web, independientemente de la plataforma o el lenguaje de programación utilizado para construirla.

Características clave:

• Analizará todas las formas de aplicaciones en línea heredadas y nuevas, como Web 2.0, HTML5 y SPA (aplicaciones de una sola página).
• Proporcionará una variedad de informes listos para usar tanto para los desarrolladores como para la administración para diversos objetivos.
• Con la ayuda de nuestras plantillas, podemos crear informes únicos.
• Para salvaguardar nuestra aplicación, podemos usar esta herramienta junto con plataformas de CI/CD como Bamboo, Jenkins o TeamCity.

5. Arácnidos

Arachni es un escáner de seguridad de aplicaciones web adecuado tanto para evaluadores de penetración como para administradores. Este programa de prueba de seguridad de código abierto puede detectar una variedad de fallas, incluidas las siguientes:

• Redirección invalidada
• Inclusión de archivos locales y remotos
• inyección SQL
• inyección XSS

Características clave:

• Inmediatamente desplegable
• Ruby framework que es modular y de alto rendimiento
• Soporte para varias plataformas.

6. Avispa de hierro

Iron Wasp es una poderosa herramienta de escaneo de código abierto que puede detectar más de 25 tipos diferentes de fallas en aplicaciones web. También puede distinguir entre falsos positivos y falsos negativos. Iron Wasp ayuda en el descubrimiento de una amplia gama de fallas, que incluyen:

• Autenticación rota
• Secuencias de comandos entre sitios
• CSRF
• Parámetros ocultos
• Escalada de privilegios

Características clave:

• C#, Python, Ruby o VB.NET se utilizan para ampliar el sistema a través de complementos o módulos.
• Los formatos HTML y RTF se utilizan para crear informes.

7. Agarrador

El Grabber es un escáner de aplicación web simple que se puede usar para buscar foros y sitios web personales. La herramienta de prueba de seguridad liviana basada en Python no tiene una interfaz gráfica de usuario. Grabber descubrió las siguientes vulnerabilidades:

• Verificación de archivos de copia de seguridad
• Secuencias de comandos entre sitios
• inclusión de archivos
• Parámetros ocultos
• Escalada de privilegios
• Verificación AJAX simple
• inyección SQL

Características clave:

• Produce un archivo de análisis de estadísticas.
• Sencillo y fácil de transportar.
• Admite el examen del código JS.

8. Mapa SQL

SQLmap es una herramienta de código abierto para detectar y explotar problemas de inyección SQL en pruebas de penetración. SQLmap es una herramienta que automatiza la detección y uso de inyección SQL. Los ataques de inyección SQL tienen la capacidad de obtener el control de las bases de datos SQL. Pueden dañar cualquier sitio web o programa en línea que use una base de datos SQL, incluidos MySQL, SQL Server, Oracle y una variedad de otros. La información del cliente, los datos personales, los secretos comerciales, los datos financieros y otros datos confidenciales se almacenan con frecuencia en estos sistemas. Es fundamental poder detectar fallas de SQL y defenderse de ellas. SQLmap puede ayudar en el descubrimiento de estas fallas. SQLMap es una herramienta gratuita que automatiza el proceso de encontrar y explotar vulnerabilidades de inyección SQL en la base de datos de un sitio web.

• ciego basado en booleanos
• basado en errores
• Fuera de banda
• Consultas apiladas
• Ciego basado en el tiempo
• consulta UNIÓN

Características clave

• Esta herramienta automatiza el proceso de localización de fallas de inyección SQL.
• También se puede utilizar para probar la seguridad de un sitio web.
• Un potente motor de detección
• MySQL, Oracle y PostgreSQL se encuentran entre las bases de datos admitidas.

9. Fuzz

Wfuzz es una herramienta para aplicaciones web de fuerza bruta. Se puede utilizar para buscar directorios no vinculados, servlets, scripts y otros recursos, así como parámetros de fuerza bruta, GET y POST para verificar varios tipos de inyecciones (SQL, XSS, LDAP, etc.), forzar parámetros de formularios (usuario/contraseña) y fuzzing. Wfuzz es una herramienta popular para aplicaciones web de fuerza bruta que se crearon en Python. La herramienta de prueba de seguridad de código abierto no tiene interfaz GUI y solo se puede usar a través de la línea de comandos. Las vulnerabilidades expuestas por Wfuzz son:

• inyección LDAP
• inyección SQL
• inyección XSS

Características clave:

• Numerosos sitios de inyección con múltiples diccionarios, salida HTML, recursividad (al realizar ataques de fuerza bruta de directorio), salidas coloreadas con formato, etc., son algunas de las capacidades de esta aplicación.
• Otras características incluyen publicaciones de fuerza bruta, encabezados, datos de autenticación, cookies fuzzing, retrasos de tiempo entre requests y soporte para SOCK/autenticación/proxy.
• Wfuzz también le permite combinar cargas útiles con iteradores, realizar escaneos HEAD, usar métodos HTTP de fuerza bruta (POST), usar varios servidores proxy (cada solicitud pasa por un proxy separado) y ocultar resultados usando códigos de retorno, números de palabras, números de línea, y respuestas o expresiones regulares.

10. W3af

El escáner de seguridad de aplicaciones web w3af (marco de auditoría y ataque de aplicaciones web) de código abierto. El proyecto ofrece una herramienta de exploración y explotación de vulnerabilidades de aplicaciones web. Brinda información sobre fallas de seguridad que se pueden usar en proyectos de pruebas de penetración. Una interfaz gráfica de usuario y una interfaz de línea de comandos también están disponibles en el escáner.

El marco se ha denominado «Metasploit para la web», pero es mucho más que eso, ya que también utiliza técnicas de escaneo de caja negra para encontrar vulnerabilidades de aplicaciones web. El núcleo y los complementos de w3af se desarrollan completamente en Python. Se incluyen más de 130 complementos en el proyecto, que detecta y explota la inyección SQL, las secuencias de comandos entre sitios (XSS), la inclusión remota de archivos y otras vulnerabilidades.

Características clave:

• Soporte para autenticación
• Es fácil de comenzar y tiene una interfaz fácil de usar.
• El resultado se puede guardar en un terminal, un archivo o enviar por correo electrónico.