Scribd Logo
Upload

Welcome to Scribd!

  • Cuadro Comarativo Amenzas Ana Herra

    Uploaded by

    yayo007
    20 views4 pages
    base de datos

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    base de datos

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    20 views4 pages

    Cuadro Comarativo Amenzas Ana Herra

    Uploaded by

    yayo007
    base de datos

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    Seguridad base de datos

    Buscar herramientas especializadas para escanear vulnerabilidades a las bases de datos relacionales y no relaciones NoSQL. Realizar
    una descripcin de cada una
    SOFTAWARES PARA ANALISIS VULNERABILIDADES DE BASE DE DATOS

    Grendel-Scan Es una herramienta desarrollada en Java disponible para Windows,


    Linux y Mac OS

    Esta herramienta est escrita en Java y ofrece un entorno basado en


    GUI. Est disponible para Mac, Linux y Windows.

    Vega
    Puede utilizarse para encontrar SQL injection, header injection,
    directory listing, shell injection, cross site scripting, file inclusion y otras
    vulnerabilidades de aplicaciones web. Esta herramienta tambin se
    puede ampliar usando una potente API escrita en JavaScript.

    Realiza pruebas de caja negra al escanear pginas web e inyectar


    datos. Intenta inyectar cargas y ver si un script es vulnerable. Es
    compatible con los ataques GET y POSTHTTP y detecta mltiples
    vulnerabilidades.

    Wapiti Puede detectar las siguientes vulnerabilidades:

    File Disclosure
    File inclusion
    Cross Site Scripting (XSS)
    Command execution detection
    CRLF Injection

    DAYRO GUTIERREZ TORO


    Seguridad base de datos

    SEL Injection and Xpath Injection


    Weak .htaccess configuration
    Backup files disclosure

    Wapiti es una aplicacin de lnea de comandos. Por lo tanto, puede no


    ser fcil para los principiantes. Pero para los expertos, funcionar muy
    bien. Para utilizar esta herramienta se necesitan aprender muchos
    comandos, o tener la documentacin siempre a mano.

    Skipfish rastrea el sitio web y luego revisa cada pgina buscando varias
    amenazas de seguridad para despus preparar un informe final. Esta
    herramienta esta escrita en C y est muy optimizada para el manejo
    HTTP y muy pocos recursos de CPU. En la descripcin dice que puede
    Skipfish manejar fcilmente 2000 solicitudes por segundo sin agregar una carga
    en la CPU. Utiliza un enfoque heurstico al rastrear y probar pginas
    web. Esta herramienta tambin pretende ofrecer alta calidad y menos
    falsos positivos.
    SQLMap es una herramienta popular de test de penetracin.
    Automatiza el proceso de encontrar y explotar la vulnerabilidad de SQL
    injection en la base de datos de un sitio web. Tiene un poderoso motor
    de deteccin y muchas caractersticas tiles.

    SQLMap Soporta un alto rango de servidores de bases de datos incluyendo


    MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access,
    IBM DB2, SQLite, Firebird, Sybase y SAP MaxDB. Ofrece soporte
    completo a 6 tipos de tcnicas de SQL injection: time-based blind,
    boolean-based blind, error-based, UNION query, stacked queries y out-
    of-band.

    DAYRO GUTIERREZ TORO


    Seguridad base de datos

    Graber puede detectar muchas vulnerabilidades de seguridad en


    aplicaciones web. Realiza exploraciones e indica dnde est la
    vulnerabilidad. Puede detectar las siguientes vulnerabilidades:

    Cross site scripting


    SQL injection
    Ajax testing
    File inclusion
    JS source code analyzer
    Backup file check

    No es muy rpido en comparacin con otros escneres, pero es


    simple y porttil. Yo lo usara slo para probar aplicaciones web
    pequeas, ya que toma demasiado tiempo explorar aplicaciones
    Graber grandes.

    Esta herramienta no ofrece ningn interfaz GUI, tampoco puede crear


    ningn informe PDF. Fue diseada para ser simple y para uso
    personal, no la recomiendo para uso profesional.

    Esta herramienta ha sido diseada para proporcionar un entorno para


    Arachni realizar test de penetracin. Esta herramienta puede detectar varias
    vulnerabilidades de seguridad en aplicaciones web como SQL Injection,
    XSS, Local File inclusion, remote file inclusion, unvalidated redirect, etc .
    Esta herramienta se puede usar para hacer fuerza bruta de parmetros
    Wfuzz GET y POST para realizar comprobaciones de varios tipos de
    inyecciones como SWL, XSS, LDAP. Tambin realiza cookie fuzzing,
    multi-threading, SOCK, Proxy, Authentication, parameters brute forcing
    y multiple proxy.No ofrece un interfaz GUI por lo que hay que trabajar
    con comandos

    DAYRO GUTIERREZ TORO


    Seguridad base de datos

    Zed Attack Proxy conocida ZAP, desarrollada por AWASP, est


    Zed Attack Proxy disponible para Windows, Unix / Linux y Mac OS. Personalmente, me
    gusta esta herramienta. Puede utilizarse para encontrar una amplia
    gama de vulnerabilidades en aplicaciones web. La herramienta es muy
    simple y fcil de usar. Incluso si eres nuevo en los test de penetracin,
    puedes utilizar fcilmente esta herramienta para comenzar a aprender.

    Estas son las principales funcionalidades de ZAP:

    Intercepting Proxy
    Automatic Scanner
    Traditional but powerful spiders
    Fuzzer
    Web Socket Support
    Plug-n-hack support
    Authentication support
    REST based API
    Dynamic SSL certificates
    Smartcard and Client Digital Certificates support

    Puedes utilizar esta herramienta como un escner introduciendo la URL


    para realizar el escaneo, o puedes la utilizar como proxy de
    interceptacin para realizar manualmente pruebas en pginas
    especficas.

    DAYRO GUTIERREZ TORO

    You might also like