IronWASP es una herramienta gratuita y de código libre que se encarga de realizar una completa auditoría de seguridad en servicios web. Ahora han lanzado la versión 2014, con múltiples mejoras que os contamos a continuación. Uno de los puntos fuertes de esta herramienta es que incorpora una completa interfaz gráfica muy fácil de usar, no es necesario ser un experto en seguridad para utilizarlo.
Algunas características de IronWASP es que tiene un motor de escaneo muy potente y efectivo, además es capaz de grabar la secuencia de login de las páginas web y usarlo en escáneres de vulnerabilidades y otros test automatizados. Los reportes con la información recopilada se pueden exportar en formato HTML y RTF. Se pueden utilizar scripts escritos en Python y Ruby así como la instalación de plugins basados en Python, Ruby, C# y VB.NET.
IronWASP viene con varios módulos por defecto que amplia las funcionalidades básicas como por ejemplo:
- WiHawk: Escáner de vulnerabilidades en routers Wi-Fi, escanea direcciones IP para conseguir las claves por defecto o conseguir acceder a través de alguna vulnerabilidades conocida.
- XmlChor: Inyección XPATH automático que permite explotar una vulnerabilidad y extraer el XML del backend del servidor.
- IronSAP: Escáner de seguridad de SAP
- SSL Security Checker: Escáner para descubrir vulnerabilidades en las instalaciones SSL
Tenéis toda la información sobre las novedades de IronWASP 2014 en el blog oficial. Si te interesa esta herramienta os recomendamos acceder a esta página donde encontraréis vídeos de demostración de lo que es capaz de hacer.
Estos son los problemas de seguridad de una web.