Acunetix es un escaner de vulnerabilidades en servidores web como SQL injection, Xss y otras más. HTTP funciona en el puerto 80, con acunetix se puede hacer sniffing, y nos debe de servir para poder proteger nuestros sitios de ataques de hackers que tienen las páginas web a su disposición las 24 horas del día para escanearlas y afectarnos en las vulnerabilidades que tengamos.
Lo podemos descargar de la página o de rapidshare.
Les muestro unas pruebas hechas al sitio www.portalquimico.net
Datos del scan hecho
Resultados del scan
Inyección SQL
La inyección SQL consiste en la modificación del comportamiento de nuestras consultas mediante la introducción de parámetros no deseados en los campos a los que tiene acceso el usuario.
Este tipo de errores puede permitir a usuarios malintencionados acceder a datos
a los que de otro modo no tendrían acceso y, en el peor de los casos,
modificar el comportamiento de nuestras aplicaciones.
Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
Mas referencias de inyección sql en wikipedia y en los maestros del web.
XSS
(Cross-site Scripting). Problema de seguridad en las páginas web, generalmente por vulnerabilidades en el sistema de validación de datos entrantes. Un ataque XSS consiste en enviar un script malicioso a la página, ocultándolo entre solicitudes legítimas.
Para funcionar necesitan un punto de entrada, que suelen ser los formularios. A través de un ataque XSS, se puede secuestrar cuentas, cambiar confi
guraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc.
Para evitar este tipo de ataques, se deben programar las aplicaciones web, filtrando determinados comandos. En general en los ataques XSS son usadas etiquetas como SCRIPT, OBJECT, APPLET, EMBED y FORM.
Les muestro aquí las opciones que tenemos con acunetix, tenemos varias cosas aparte de los scaners web
2 comentarios:
gracias por la informacion!!! se agradece
Interesante, quisiera saber si el diagnostico con este software es o puede ser el mismo si lo haces desde dentro de la LAN o desde Internet.
Gracias.
Publicar un comentario