"Los lugares más oscuros del infierno
están reservados para aquellos que mantienen su neutralidad en tiempos de crisis moral"
[ Dante Alighieri - Poeta Italiano - 1265-1321 ]


190 - Benchmark de Web Application Vulnerability Scanners - 23/06/2013


En este Boletín mostramos cómo elegir un Web Application Vulnerability Scanner basado en un completo análisis realizado sobre todas las herramientas conocidas en el mercado.

Relatamos el proceso que están siguiendo los Proyectos de Ley de Phishing y Suplantación de Identidad Digital que hemos presentado en el Senado de La Nación Argentina.

Finalmente tenemos el agrado de anunciar que todos los artículos de nuestros colaboradores han sido verificados y actualizados en un nuevo servidor, así como todos los libros en español e inglés (datos de acceso comienzo del presente). Todos estos archivos se encuentran listos para la descarga.

1. Benchmark de Web Application Vulnerability Scanners
2. Proyectos de Ley de Phishing y Suplantación de Identidad Digital
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana


1. Benchmark de Web Application Vulnerability Scanners

Un gran número de vulnerabilidades de las aplicaciones web se encuentran y aprovechan mediante la utilización de herramientas automatizadas. Este artículo explora una serie de métodos para evaluar las mejores prácticas para conocer las ventajas de cada una de las herramientas así como su evaluación en distintos aspectos.

SANS ha publicado el documento "Web Application Injection Vulnerabilities" desarrollado por Erik Couture, describiendo cada una de las vulnerabilidades publicadas en el OWASP Top 10 y para ello se han utilizado distintas herramientas comerciales y libres.

Shay-Chen de SecToolAddict [1], por su parte, ha realizado una recopilación de herramientas de Web Application Vulnerability Scanners así como su documentación y luego probó las características de cada una de ellas para buscar la "mejor" en base a distintos modelos de evaluación basados en más de 900 tests que creo para la ocasión.

Debido a que se analizaron mas de 60 scanners era difícil hacerse de una impresión exacta y Chen dice "todavía no tengo una recomendación perfecta pero estoy seguro que tengo muchas respuestas y una metodología muy completa, lógica y clara para emplear toda la información recolectada".

En su análisis comparó 10 aspectos diferentes de las herramientas y eligió la colección con el objetivo de proporcionar herramientas prácticas para tomar una decisión, y obtener una visión completa del panorama.

Básicamente este análisis es una guía paso a paso que permitirá elegir un herramienta de Web Application Vulnerability Scanners, basado en distintas pruebas.

La investigación abarca aspectos de las últimas versiones de 11 scanners de aplicaciones web comerciales, y las últimas versiones de la mayoría de los 49 scanners de aplicaciones web Open-Source e incluye, entre otros, los siguientes componentes y exámenes:

  • Una comparación de precios, en relación con el resto de los resultados de referencia
  • Versatilidad del Scanner
  • Cantidad y tipo de Plugins para detectar una vulnerabilidad
  • Precisión en la detección de ataques XSS
  • Precisión en la detección de ataques SQL Injection
  • Precisión en la detección de ataques Path Transversal, LFI y RFI
  • Puntaje WIVET (Web Input Vector Extractor Teaser) [2]
  • WIVET Score Comparación - Automated Crawling
  • Adaptabilidad del Scanner y características complementarias
  • Comparativa de las características de autenticación
  • Funciones de scanning complementarios y productos integrados
  • Características generales de scanning y la impresión general
  • Comparación de licencia e información general

Nota: WIVET es un proyecto que tiene como objetivo realizar comparativas y analizar estadísticamente scanners web. Ofrece una buena cantidad de vectores de análisis que deberían cumplir estas herramientas.

Las herramientas comparadas fueron:

  • IBM AppScan v8.5.0.1, Build 42-SR1434 (IBM)
  • WebInspect v9.20.277.0, SecureBase 4.08.00 (HP)
  • Netsparker v2.1.0, Build 45 (Mavituna Security)
  • Acunetix WVS v8.0, Build 20120613 (Acunetix)
  • Syhunt Dynamic (SandcatPro) v4.5.0.0/1 (Syhunt)
  • Burp Suite v1.4.10 (Portswigger)
  • ParosPro v1.9.12 (Milescan) - WIVET / Other
  • JSky v3.5.1-905 (NoSec) - WIVET / Other
  • WebCruiser v2.5.1 EE (Janus Security)
  • Nessus v5.0.1 - 20120701 (Tenable Network Security)
  • Ammonite v1.2 (RyscCorp)

Los scanners fueron probados contra la última versión de OWASP WAVSEP (v1.2, integranda en ZAP-WAVE), una plataforma de evaluación diseñada para determinar la precisión de la detección de los scanners de aplicaciones web. El propósito de los casos de prueba de WAVSEP es proporcionar una escala para la comprensión de la detección de cada herramienta, los puntos que pueden pasar por alto en cada exploración así como las distintas variaciones que puede ser detectada por cada herramienta.

Los diferentes scanners fueron probados contra los siguientes casos de prueba:

  • 816 casos de prueba de Path Traversal
  • 108 casos de prueba de inclusión de archivos remotos (RFI)
  • 66 casos de prueba de Cross Site Scripting reflejado
  • 80 casos de prueba de inyección SQL
  • 46 casos de prueba Blind SQL Injection
  • 10 casos de prueba de inyección SQL basada en tiempo
  • 7 categorías diferentes de falsos positivos de vulnerabilidades XSS
  • 10 categorías diferentes de falsos positivos de SQLi
  • 8 categorías diferentes de falsos positivos de Path Travesal y LFI
  • 6 categorías diferentes de vulnerabilidades falsas de inclusión de archivos remotos (RFI)

Con el fin de asegurar las características de detección de cada scanner se realizó una evaluación comparativa adicional con una plataforma similar a WAVSEP con un diseño diferente.

Un scanner de vulnerabilidades es difícil de valorar y, dependiendo de la naturaleza de las vulnerabilidades que tenga el sitio web, se encontrarán mayor o menor cantidad de resultados. En un trabajo de mayo de 2013, realizado por Fernando Román Muñoz y Luis Javier García Villalba en la Universidad Complutense de Madrid, titulado "Methods to Test Web Application Scanners" también se realiza una comparativa los resultados de los scanners más conocidos.

Y, en el estándar PCI DSS, existe la figura de los ASV (Approved Scanning Vendors), que es un listado de scanners de vulnerabilidades aprobados por la organización y que pueden ser utilizados para la búsqueda de vulnerabilidades y pasar la certificación PCI. Estos scanners deben buscar y encontrar un conjunto de vulnerabilidades antes de conseguir el nivel de aprobación. Estas vulnerabilidades van desde nivel de red o versiones de software desactualizadas hasta las que aparecen en aplicaciones web.

[1] Top 10: The Web Application Vulnerability Scanners Benchmark, 2012 Commercial & Open Source Scanners Shay-Chen de SecToolAddict
Top 10: The Web Application Vulnerability Scanners Benchmark, 2012
Collection of benchmarks from the security tools benchmarking blog

[2] WIVET (Web Input Vector Extractor Teaser)
The WIVET Test Score of Web Application Scanners
WIVET - Web Input Vector Extractor Teaser

2. Proyectos de Ley de Phishing y Suplantación de Identidad Digital

El pasado martes 18 de junio de 2013, hemos tenido (Abog. Marcelo Temperini y Lic. Cristian Borghello) la grata posibilidad de volver a participar de una nueva reunión en el Senado de la Nación Argentina, más precisamente dentro de la Comisión de Justicia y Asuntos Penales.

En esta oportunidad, el motivo de la reunión era el análisis de los diferentes proyectos presentados por distintos Senadores en relación a la problemática de la Captación Ilegítima de Datos y la Suplantación de la Identidad Digital.

Entre ellos, se encontraban los proyectos en cuya redacción hemos participado: El Proyecto de Ley 711/13 - Captación ilegítima de datos confidenciales/Phishing (Ref. 2257/11) y el Proyecto de Ley 1312/12 - Suplantación de Identidad Digital, ambas presentaciones iniciadas por la Senadora Nacional por La Pampa, María de los Ángeles Higonet.

La reunión comenzó con una breve explicación sobre las diferentes etapas del phishing y porqué consideramos de importancia la propuesta de tipificar la captación y venta ilegítima de datos confidenciales. Así, se compararon las propuestas del Senador Guastavino (Proyecto 811/13 para la tipificación de la Obtención de Datos Personales cuyo secreto estuviere preservado por ley) y la propia iniciativa de la Senadora Higonet a través del ya mencionado Proyecto de Ley 711/13 - Captación ilegítima de datos confidenciales/Phishing (Ref. 2257/11).

Se concluyó en realizar una propuesta única que tenga en consideración lo expuesto por ambas propuestas, sujetos a algunas apreciaciones realizadas durante el debate.

Posteriormente, fueron tratadas las propuestas para la tipificación de la Suplantación de Identidad Digital, considerándose los Proyectos 1002/12 de la Senadora Nacional Ada Rosa Iturrez de Cappelini, el Proyecto 2311/12 de la Senadora Nacional Ana María Corradi de Beltran y finalmente el Proyecto de Ley 1312/12 - Suplantación de Identidad Digital de la Senadora Nacional María de los Ángeles Higonet.

Aquí se plantearon algunas comentarios, preguntas y situaciones de ejemplo en torno a algunos verbos propuestos en los proyectos, intentando consensuar el aspecto objetivo de la propuesta. Por otro lado, de nuestra parte se expresó la postura sobre la necesidad de que la propuesta final incluyera de alguna forma u otra, el requisito de un aspecto subjetivo en el tipo.

Afortunadamente, y tal como en la anterior ocasión, se ha tenido una excelente recepción y predisposición de todos los presentes en la Comisión de Justicia y Asuntos Penales en relación a las propuestas y sobre todo en la necesidad de combatir ambas problemáticas.

Finalizando la reunión, los asesores que representaron a los diferentes proyectos ya citados, consensuaron la idea de la redacción de una propuesta única para tipificar ambos delitos, teniendo en consideración todo lo analizado durante esta reunión y la anterior. Así las cosas, junto al equipo de trabajo de la Senadora Higonet, retornamos al despacho con el destino de elaborar el documento con la propuesta final.

Dicha propuesta no ha sido aún publicada oficialmente (por lo que no difundiremos su texto), toda vez que queda sujeta a la aprobación por los asesores de los distintos miembros de la Comisión. Logrado este objetivo, el próximo paso sería la reunión a fin de lograr aprobación final por parte de los propios Senadores que conforman la Comisión de Justicia y Asuntos Penales. Si allí es aprobado, los proyectos podrían pasar a votación en el recinto del Senado de la Nación.

Por último deseamos agradecer especialmente a la Senadora Nacional María de los Angeles Higonet, y especialmente a su grupo de trabajo y asesores, por el excelente trato recibido durante toda la jornada, así como la genuina preocupación por producir avances en la materia.

Abog. Marcelo Temperini y Lic. Cristian Borghello.
Cruzada por la Identidad Digital - Argentina

3. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

  • si te interesan la Seguridad de la Información,
  • si conoces de Legislación en Seguridad,
  • o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

4. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

5. Desafío de la semana

Solución al desafío del Boletín anterior

El mensaje dice "come here at once" ("ven aquí enseguida") y puede ser encontrado en "Los bailarines", uno de los 56 relatos cortos sobre Sherlock Holmes escrito por Arthur Conan Doyle.

Más información en Wikipedia y en el libro Los Bailarines [PDF]

Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected]

Desafío de esta semana:

Si se considera la secuencia:
1, 2, 2, 3, 3, 3, 4, 4, 4, 4, 5, 5, 5, 5, 5, 6, ...

¿Cuál es el término número 1000?

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto