Escáner de vulnerabilidades

Un escáner de vulnerabilidades es una aplicación diseñada para realizar análisis automáticos de cualquier aplicación, sistema o red en busca de cualquier posible vulnerabilidad. Aunque estas aplicaciones no son capaces de detectar la vulnerabilidad con total precisión, sí son capaces de detectar ciertos elementos que podrían desencadenar en una vulnerabilidad, facilitando enormemente el trabajo a los investigadores e ingenieros. Es frecuente hacer escaneos de vulnerabilidades desde la red interna, para ver que se puede hacer una vez que se tiene acceso a la intranet, o desde red externa, para ver las posibilidades que tiene un atacante externo para atacar nuestros sistemas.[1]

Los escáner de vulnerabilidades está compuesto por otras herramientas para funcionalidades más específicas, como pueden ser pruebas de fuerza bruta o con diccionarios de contraseñas (Ej. Patator, Medussa y Hydra), fuzzers para descubrir dominios no bloqueados a usuarios sin autenticar o escáneres de puertos.[2]

Tradicionalmente el software era necesario instalar en una máquina. Sin embargo hoy día muchos escáneres de vulnerabilidades están dando sus servicios como SaaS. Por ejemplo HTTPCS o Acunetix siguen este modo de explotación.

Los escáneres de vulnerabilidades deberían poder detectar los riesgos en las dependencias de código abierto. Sin embargo, dado que los desarrolladores suelen volver a empaquetar el OSS, el mismo código aparecerá en diferentes dependencias, lo que afectará el rendimiento y la capacidad de los escáneres para detectar el OSS vulnerable.[3]

Clasificación

editar

Se pueden clasificar según el tipo de vulnerabilidades en los que está especializado:[2][1][4]

Por otro lado hay herramientas, como Seccubus que son una recopilación de escáneres de vulnerabilidades y nos permite automatizar todos los análisis de manera que desde esta única aplicación podamos realizar un análisis lo más profundo posible.[1]

Referencias

editar
  1. a b c Los mejores escáneres de vulnerabilidades de 2019 gratis para convertirte en hacker ético. Rubén Velasco. Redeszone.net. 25 de mayo, 2019
  2. a b Evaluación y gestión de vulnerabilidades:Cómo sobrevivir en elmundo de los ciberataques. Borja Villora Divino. Escola Tècnica Superior d’Enginyeria InformàticaUniversitat. Politècnica de València 2018
  3. Dann, Andreas; Plate, Henrik; Hermann, Ben; Ponta, Serena Elisa; Bodden, Eric (1 de septiembre de 2022). «Identifying Challenges for OSS Vulnerability Scanners - A Study & Test Suite». IEEE Transactions on Software Engineering 48 (9): 3613-3625. ISSN 0098-5589. doi:10.1109/TSE.2021.3101739. Consultado el 17 de noviembre de 2023. 
  4. Uniscan: conoce esta herramienta para buscar vulnerabilidades en cualquier aplicación web. Rubén Velasco. Redeszone.net. 23 de febrero, 2019

Enlaces externos

editar
  NODES
Intern 1
iOS 4
os 41
todo 1
web 2