Desde hace poco más de tres años, la gente de "Security Tools Benchmarking" (http://sectooladdict.blogspot.co.il/) publica por estas fechas su comparativa sobre los más importantes analizadores de seguridad (scanners) de aplicaciones Web. Se revisa y comprueba el comportamiento de las 60 herramientas más conocidas ante diferentes pruebas como son la precisión en la detección de vulnerabilidades del tipo Inyección SQL, vulnerabilidades de Cross Site Scripting (XSS), los métodos para validar formularios de autenticación, la facilidad de uso y la potencia de las distintas aplicaciones, su precio. etc. 10 baterías de pruebas diferentes con las que analizar el funcionamiento de todas las herramientas y ver el resultado de las mismas para elaborar un top ten que incluye, tanto herramientas comerciales y de pago, como con licencia GNU.
Comentarios aparte sobre las diferentes pruebas realizadas y sus resultados, el informe sirve como fuente para repasar las principales herramientas existentes y los ataques y vulnerabilidades en aplicaciones Web más habituales. Además, como se puede consultar en la misma página los informes de años anteriores, es posible comprobar de qué forma van progresando y adaptándose dichas aplicaciones con el paso del tiempo y la evolución y perfección de los ataques Web.
Analizadores de seguridad comerciales tan conocidos como IBM Appscan, HP Webinspect o Acunetix y "open source" como Sqlmap, Skipfish o Wapiti (ya comentada en hacktimes.com - http://hacktimes.com/vulnerabilidades_en_aplicaciones_web_-_wapiti>) y así hasta un total de 60 aplicaciones que se revisan en un completo y detallado informe que se puede consultar en la siguiente dirección:
http://sectooladdict.blogspot.co.il/2012/07/2012-web-application-scanner-benchmark.html
Para poder realizar la comparativa se ha utilizado WAVSEP (http://code.google.com/p/wavsep/) que no es más que una aplicación Web vulnerable diseñada específicamente para este tipo de pruebas, y WIVET (Web Input Vector Extractor Teaser) que se utiliza para sacar indicadores de las pruebas realizadas.
Una parte muy interesante del análisis es la comparativa de precios para las herramientas comerciales donde se pueden ver precios por licencia desde los casi 20.000 dólares anuales de Appscan, los 3.995 de Acunetix, o hasta los 299 dólares de Burp Suite Professional.
Fig 1. Listado del precio de las herramientas comerciales analizadas en el informe
Otra parte importante del informe es la sección donde se enumeran los cambios que se han producido respecto a análisis anteriores (punto 17. What Changed?) ya que proporciona diversa información sobre cómo van evolucionando y mejorando todas las herramientas analizadas respecto a versiones anteriores.
Fig 2. Resultado de las herramientas en la prueba de detección de vulnerabilidades de Inyección SQL, en rojo los falsos positivos
Después del análisis de las diferentes pruebas y de revisar el funcionamiento de todas las herramientas, destaca HP Webinspect por encima del resto (seguida muy de cerca por otra aplicación comercial, IBM Appscan, y de otra "open source" como es IronWASP). Esto contrasta notablemente con los resultados obtenidos recientemente en otros análisis como, por ejemplo, el listado de la gente de Insecure sobre las herramientas de seguridad más utilizadas, también comentado en Hacktimes.com (http://hacktimes.com/herramientas_de_seguridad) o el informe de InfoSec http://resources.infosecinstitute.com/sql-injection-http-headers/ sobre aplicaciones para detectar vulnerabilidades del tipo Inyección SQL (SQLi) donde HP Webinspect no salía bien parado precisamente. En el listado de Insecure, HP Webinspect perdía hasta 36 posiciones respecto a informes anteriores, y en el análisis de InfoSec, por el contrario, HP Webinspect ocupaba el puesto número 7 de un total de 14 aplicaciones analizadas.
Fig 3. Herramientas ordenadas según la puntuación obtenida del informe de InfoSec (marzo de 2012) para ataques de Inyección SQL
Comentarios
Añadir comentario