Estoy buscando una buena herramienta (software o servicio web) que pueda verificar un servidor web de Windows en busca de posibles problemas de vulnerabilidad. Mientras más, mejor. (Comprobación desde el exterior, por una dirección IP determinada, pero posiblemente también desde el interior).
Veo que hay muchos servicios web por ahí, pero:
La herramienta de facto para esto es Metaploit . Actualmente tiene soporte para 1200 exploits de los cuales ~900 se aplican a Windows.
Por lo general, ejecutaría Metasploit desde Kali Linux a través de la consola Metasploit msfconsole
. A partir de ahí, use
un exploit, set
un objetivo, una set
carga útil y exp
loit.
Recurso imprescindible: la hoja de trucos de SANS Metasploit
Metasploit (la versión de línea de comandos, no tengo experiencia con las versiones pagas) no se explica por sí mismo, por lo que puede tomar un curso en línea, por ejemplo, Pruebas de penetración y piratería ética con Kali Linux en Pluralsight (hay una prueba gratuita que debería ser suficiente para ver este).
Tenga en cuenta que la página de descarga predeterminada [1] solo distingue entre la edición comunitaria y la versión Pro, pero si observa la página de ediciones [2] , también está la edición "marco", que es la herramienta de línea de comandos utilizada por los analistas de seguridad y publicado como código abierto (licencia BSD).
Si extrae el .tar.bz2
archivo, asegúrese de que su antivirus esté apagado o excluya el directorio al que está extrayendo, de lo contrario, el antivirus pondrá en cuarentena muchos de los archivos, ya que se sabe que son amenazas.
Herramientas de prueba de penetración web (escáneres/rastreos):
Ya no se mantiene:
Comercial:
Otro:
Consulte: herramientas de análisis de OpenSource Security para API REST
Para los escáneres de malware PHP, consulte: ¿Escáner de malware para código de sitios web?
marca búfalo
RockPaperLz- Máscara o ataúd
Tomás Weller
Huey
usuario14394