[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)
Programa STIC
stic en fundacionsadosky.org.ar
Lun Sep 29 17:34:10 BRT 2014
Hola Luis
Existe un conjunto de herramientas gratuitas y de código abierto para
gestión de vulnerabilidades. En general una combinación de escáner de
vulnerabildiade de red, herramienta de prueba de intrusión y escáner
de vulnerabilidades en aplicaciones web da buena visibilidad sobre
vulnerabilidades existentes y como priorizarlas.
Estas son algunas herramientas que pueden ser útiles:
NMap
.Escáner de puertos, protocolos, aplicaciones
http://nmap.org/
OpenVAS
.Escáner de vulnerabilidades
http://www.openvas.org/
Metasploit Framework
.Herramienta para pruebas de intrusión
http://metasploit.org/
Vega
.Escáner de vulnerabilidades en aplicaciones web
https://subgraph.com/vega/index.en.html
Burp suite
.Proxy configurable y otras herramientas para auditoría manual de
aplicaciones web
http://portswigger.net/burp/
ZAP Attack proxy
.Proxy configurable para auditoría manual de aplicaciones web
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Existen alternativas comerciales con mas y mejor funcionalidad pero en
principio con estas herramientas se puede armar la base sobre la que
construir el componente de identificación y priorización de un sistema
de gestion de vulnerabilidades.
saludos,
-ivan
El 27/09/14 14:04, Luis González escribió:
> Hola Herman.
>
> Por acá yo tengo el problema de que los sitios de nuestro
> ministerio a los que le damos hospedaje, no tenemos herramienta
> para verificar constante mente su seguridad en cuanto a la
> programación y sistemas utilizados en su programación, me gustaría
> que me sugieras cual me recomiendas, para hacer justamente esto que
> tu haces de verificar la vulnerabilidad de los sitios que tenemos
> en el aire.
>
> espero por ti
>
> Un abrazo
>
> Luis González
>
>
>
>
>
--
Programa de Seguridad en TIC
Fundación Dr. Manuel Sadosky
Av. Córdoba 744 Piso 5 Oficina I
TE/FAX: 4328-5164
Más información sobre la lista de distribución Seguridad