[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)

[Programa STIC]

Hola Luis

Existe un conjunto de herramientas gratuitas y de código abierto para
gestión de vulnerabilidades. En general una combinación de escáner de
vulnerabildiade de red, herramienta de prueba de intrusión y escáner
de vulnerabilidades en aplicaciones web da buena visibilidad sobre
vulnerabilidades existentes y como priorizarlas.

Estas son algunas herramientas que pueden ser útiles:

NMap
.Escáner de puertos, protocolos, aplicaciones
http://nmap.org/

OpenVAS
.Escáner de vulnerabilidades
http://www.openvas.org/

Metasploit Framework
.Herramienta para pruebas de intrusión
http://metasploit.org/

Vega
.Escáner de vulnerabilidades en aplicaciones web
https://subgraph.com/vega/index.en.html

Burp suite
.Proxy configurable y otras herramientas para auditoría manual de
aplicaciones web
http://portswigger.net/burp/

ZAP Attack proxy
.Proxy configurable para auditoría manual de aplicaciones web
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project


Existen alternativas comerciales con mas y mejor funcionalidad pero en
principio con estas herramientas se puede armar la base sobre la que
construir el componente de identificación y priorización de un sistema
de gestion de vulnerabilidades.

saludos,
-ivan


El 27/09/14 14:04, Luis González escribió:
> Hola Herman.
> 
> Por acá yo tengo el problema de que los sitios de nuestro
> ministerio a los que le damos hospedaje, no tenemos herramienta
> para verificar constante mente su seguridad en cuanto a la
> programación y sistemas utilizados en su programación, me gustaría
> que me sugieras cual me recomiendas, para hacer justamente esto que
> tu haces de verificar la vulnerabilidad de los sitios que tenemos
> en el aire.
> 
> espero por ti
> 
> Un abrazo
> 
> Luis González
> 
> 
> 
> 
> 

-- 
Programa de Seguridad en TIC
Fundación Dr. Manuel Sadosky
Av. Córdoba 744 Piso 5 Oficina I
TE/FAX: 4328-5164