Escáner de vulnerabilidades

Un escáner de vulnerabilidades es una aplicación diseñada para realizar análisis automáticos de cualquier aplicación, sistema o red en busca de cualquier posible vulnerabilidad. Aunque estas aplicaciones no son capaces de detectar la vulnerabilidad con total precisión, sí son capaces de detectar ciertos elementos que podrían desencadenar en una vulnerabilidad, facilitando enormemente el trabajo a los investigadores e ingenieros. Es frecuente hacer escaneos de vulnerabilidades desde la red interna, para ver que se puede hacer una vez que se tiene acceso a la intranet, o desde red externa, para ver las posibilidades que tiene un atacante externo para atacar nuestros sistemas.[1]

Los escáner de vulnerabilidades está compuesto por otras herramientas para funcionalidades más específicas, como pueden ser pruebas de fuerza bruta o con diccionarios de contraseñas (Ej. Patator, Medussa y Hydra), fuzzers para descubrir dominios no bloqueados a usuarios sin autenticar o escáneres de puertos.[2]

Tradicionalmente el software era necesario instalar en una máquina. Sin embargo hoy día muchos escáneres de vulnerabilidades están dando sus servicios como SaaS. Por ejemplo HTTPCS o Acunetix siguen este modo de explotación.

Clasificación

Se pueden clasificar según el tipo de vulnerabilidades en los que está especializado:[2][1][3]

Escáner de vulnerabilidades de red. Por ejemplo Nessus, Qualys, Acunetix, OpenVAS, HTTPCS, Nexpose o Nmap con scripts (Nmap Scripting Engine Scripts) para el análisis de vulnerabilidades. Para la propia red de acceso Aircrack-ng es una buena herramienta para poner a prueba la seguridad de cualquier red Wi-Fi en busca de cualquier posible vulnerabilidad que pueda permitir a cualquier usuario no autorizado hacerse con la contraseña de nuestra red
Escáner de vulnerabilidades de aplicaciones web: . Por ejemplo Nikto, Qualys, OWASP Zed Attack Proxy (ZAP), w3af, Burp Suite, Uniscan.
Escáner de vulnerabilidades de bases de datos: Scuba, AppDetectivePro, McAfee Vulnerability Manager for Databases, AuditPro Enterprise, Microsoft Baseline Security Analyzer.

Por otro lado hay herramientas, como Seccubus que son una recopilación de escáneres de vulnerabilidades y nos permite automatizar todos los análisis de manera que desde esta única aplicación podamos realizar un análisis lo más profundo posible.[1]

Referencias

Los mejores escáneres de vulnerabilidades de 2019 gratis para convertirte en hacker ético. Rubén Velasco. Redeszone.net. 25 de mayo, 2019
Evaluación y gestión de vulnerabilidades:Cómo sobrevivir en elmundo de los ciberataques. Borja Villora Divino. Escola Tècnica Superior d’Enginyeria InformàticaUniversitat. Politècnica de València 2018
Uniscan: conoce esta herramienta para buscar vulnerabilidades en cualquier aplicación web. Rubén Velasco. Redeszone.net. 23 de febrero, 2019

Referencias externas

Escáner de vulnerabilidades - Seguridad en la informática

Datos: Q283770

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.

[mejores-1] Los mejores escáneres de vulnerabilidades de 2019 gratis para convertirte en hacker ético. Rubén Velasco. Redeszone.net. 25 de mayo, 2019

[upv-2] Evaluación y gestión de vulnerabilidades:Cómo sobrevivir en elmundo de los ciberataques. Borja Villora Divino. Escola Tècnica Superior d’Enginyeria InformàticaUniversitat. Politècnica de València 2018

[3] Uniscan: conoce esta herramienta para buscar vulnerabilidades en cualquier aplicación web. Rubén Velasco. Redeszone.net. 23 de febrero, 2019