Herramienta Hacking Ético Wapiti escáner de vulnerabilidades

Herramienta Hacking Ético Wapiti escáner de vulnerabilidades

enero 22, 2019 Desactivado Por Redaccion tecnologiayconsumo
Herramienta Hacking Ético Wapiti escáner de vulnerabilidades 0

Herramienta Hacking Ético Wapiti escáner de vulnerabilidades

Wapiti le permite auditar la seguridad de sus sitios web o aplicaciones web.

Esta herramienta tiene un amplio mercado en el análisis de seguridad de aplicaciones web, donde los usuarios analizan el código HTML en busca de posibles vulnerabilidades que permitan inyectar código y que puedan suponer un riesgo para la seguridad.

Wapiti es capaz de escanear un sistema o una red y detectar cientos de vulnerabilidades potenciales que puedan existir en él.

Realiza exploraciones de «caja negra» (no estudia el código fuente) de la aplicación web rastreando las páginas web del webapp desplegado, buscando scripts y formularios donde pueda inyectar datos.

Una vez que obtiene la lista de URLs, formularios y sus entradas, Wapiti actúa como un fuzzer, inyectando cargas útiles para ver si un script es vulnerable.

Divulgación de archivos (Local y remoto include/require, fopen, readfile…)
Inyección de Base de Datos (Inyecciones PHP/JSP/ASP SQL e Inyecciones XPath)
Inyección XSS (Cross Site Scripting) (reflejada y permanente)
Detección de ejecución de comandos (eval(), system(), passtru()….)
Inyección CRLF (HTTP Response Splitting, fijación de sesión…)
Inyección XXE (XML External Entity)
SSRF (Falsificación de Solicitudes del Lado del Servidor)
Uso de archivos conocidos potencialmente peligrosos (gracias a la base de datos Nikto)
Configuraciones de acceso débil.htaccess que se pueden pasar por alto
Presencia de archivos de copia de seguridad que proporcionan información confidencial (divulgación del código fuente)
Shellshock (también conocido como Bash bug)
Un módulo buster también permite crear directorios de fuerza bruta y nombres de archivos en el servidor web de destino.

Wapiti soporta los métodos GET y POST HTTP para ataques.
También soporta formularios multiparte y puede inyectar cargas útiles en nombres de archivo (upload).

Avisa cuando se encuentra una anomalía (por ejemplo, 500 errores y tiempos de espera).

Wapiti es capaz de hacer la diferencia entre vulnerabilidades XSS permanentes y reflejadas.

Características generales

Genera informes de vulnerabilidades en varios formatos (HTML, XML, JSON, TXT….)
Puede suspender y reanudar un escaneo o un ataque (mecanismo de sesión usando bases de datos sqlite3)
Puede darle colores en el terminal para resaltar las vulnerabilidades
Diferentes niveles de verbosidad
Una forma rápida y sencilla de activar/desactivar los módulos de ataque
Añadir una carga útil puede ser tan fácil como añadir una línea a un archivo de texto.
Funciones de navegación

Soporta proxies HTTP, HTTPS y SOCKS5
Autenticación mediante varios métodos: Basic, Digest, Kerberos o NTLM
Capacidad para restringir el alcance del escaneo (dominio, carpeta, página, url)
Eliminación automática de uno o más parámetros en las URLs
Múltiples medidas de seguridad para evitar bucles sin fin de escaneo (por ejemplo, límite de valores para un parámetro)
Posibilidad de establecer las primeras URLs a explorar (incluso si no están en el alcance)
Puede excluir algunas URLs del análisis y los ataques (por ejemplo: URL de cierre de sesión)
Importación de cookies (con la herramienta wapiti-getcookie)
Puede activar / desactivar la verificación de certificados SSL
Extraer URLs de archivos SWF de Flash
Intentar extraer URLs de javascript (intérprete de JS muy básico)
Conocimiento de HTML5 (entender las etiquetas HTML recientes)
Varias opciones para controlar el comportamiento y los límites del crawler.
Saltarse algunos nombres de parámetros durante el ataque.
Establecer un tiempo máximo para el proceso de escaneado.
Añadir algunas cabeceras HTTP personalizadas o configurar un User-Agent personalizado.

Podemos descargar esta herramienta de forma gratuita desde el siguiente enlace.

barra

Yquetecuento

Yquetecuento.com

Publicación de novedades y noticias sobre Lifestyle, Alimentación, Ocio, Deporte o Juegos.

barra
estoybiendesalud

Estoybiendesalud.com

Noticias, Bulos, Salud, Psicología, Ciencia, Alimentación Deporte y videos.

barra
Tendenciasdebelleza

Tendenciasdebelleza.com

Temas de Belleza y Moda, Tendencias, Hombres o modas virales.

barra
Influensex

Influensex.com

Relatos eróticos, Sexualidad, Erotismo, Experiencias y adolescentes.

barra
Tecnologiayconsumo

Tecnologiayconsumo.com

Tecnología, electrónica de consumo y novedades en móviles, tablets, hackins, Virus, Herramientas, Drones, Eventos

barra