WEB APPLICATION SECURITY

Descripcin Versiones Descarga Requisitos Instalacin Funcionamiento

Si tenis vuestra propia web y estis familiarizados con ese mundo, sabris lo sencillo que puede ser hackear un sitio web aprovechando las vulnerabilidades que puede presentar cualquier pgina. Yo mismamente, he recibido varios ataques a una web propia desde una vulnerabilidad que posea un antiguo chat el cual elimin tras todo lo ocurrido, uno de ellos fue capaz de saber donde viva, entr en mi correo y con ello obtuvo usuarios y claves de muchos sitios web importantes como ebay o paypal de los cuales cambi la contrasea y pudo haber hecho mucho dao de no ser porque cometi un pequeo fallo: avisarme dicindome datos personales propios para, tal vez, burlarse y alardear de su hazaa.

Para evitar eso tenemos programas como Acunetix Web Vulnerability Scanner, una sencilla herramienta con la que podris analizar todas las posibles entradas de hackers que pueden producirse en vuestro sitio web y as cerrarlas. El programa escanea todo el sitio web buscando fallos y vulnerabilidades que impidan la seguridad de la web adems de comprobar el estado del servidor en el que se encuentre, en este caso es el programa el que te avisa de la vulnerabilidad. Una vez finalizadas todas esas pruebas, Acunetix Web Vulnerability Scanner ofrece un completo informe en el que se especifica donde se han encontrado los fallos y como pueden ser reparados. Si hubiera tenido algo as antes, no hubiera pasado.

Sin duda es uno de los mejores programas existentes al respecto, en su web aparecen empresas importantsimas que lo utilizan:

y muchas ms

Podra seguir intentando convenceros, pero para eso ya tienen ellos en su web un apartado con un video de youtube de 15minutos sobre por qu elegir su programa y no otros: Why Choose Acunetix? http://www.youtube.com/watch?v=0zPwRyrXtw E&feature=player_embedded

En la presentacin vamos a trabajar con 2 versiones:

Acunetix Web Vulnerability Scanner 7
Versin Trial y por tanto sin todas las propiedades

Acunetix Web Vulnerability Scanner 4

Disponemos de la versin completa activada

Podemos descargarnos un Trial desde su web: http://www.acunetix.com/vulnerabilityscanner/download.htm Introducimos algunos datos y un email al que enviar la URL de descarga. Recibiremos un mail de sales@acunetix.com El programa ocupa sobre 14MB

Microsoft Windows XP Professional, Windows Server 2003, Windows Vista, Windows 2008 o Windows 7 32 bit or 64 bit processor 1GB of RAM 200 MB of available hard-disk space Microsoft Internet Explorer 7 (or higher) some components of IE are used by Acunetix Microsoft SQL Server / Microsoft Access support if you intend to use the reporting database (optional)

Ejecutamos el archivo vulnerabilityscanner.exe anteriormente descargado

Leemos Trminos y Condiciones y si estamos de acuerdo, aceptamos y pulsamos en Next >

Elegimos ruta de instalacin

Podemos elegir si instalar la extensin en Firefox (No posible si posees la versin actual de Firefox)

Revisar e Instalar

El proceso se realiza alrededor de 1-2minutos

Una vez terminado abrir automticamente tu explorador web a la siguiente URL http://www.acunetix.com/vulnerability-scanner/getting-started.htm

Pulsar en Finish y se ejecutar el programa

Como es la versin Trial, nos aparecer este mensaje advirtiendo de que solo podremos escanear nuestro propio sitio y encontrar vulnerabilidades XSS

Pantalla de ejecucin

Nada mas entrar, se autoejecuta el asistente, aqu ya comenzamos a darle los datos para el escaneo

Tras el paso anterior aparece la lista de sitios elegidos

Detalles del escaneo, pulsar en Finish

Tras el paso anterior nos advierte de nuevo sobre la versin Trial que disponemos

Esta es la pantalla principal, automticamente busca vulnerabilidades y muestra: En el centro resultados, en la derecha nivel de alertas, a la izquierda mas utilidades que posee el programa y abajo el estado del escaneo

Esta es la parte de la izquierda, como vemos vienen resaltadas algunas caractersticas, otras no, recordamos que es la versin Trial Vemos Herramientas como sitios aptos para rastreos, buscador de objetivo, escner de subdominio, editor HTTP

Finalmente tras 12 minutos aproximadamente ha realizado el escaneo. En la ltima versin hemos visto cmo realizar un escaneo, aunque sin alertas.

Por si con toda la presentacin segus teniendo dudas, aqu tenis el manual en pdf ofrecido por Acunetix: http://www.acunetix.com/vulnerabilityscanner/wvsmanual.pdf