Introducción a webscan
El escaneo de aplicaciones web es una práctica crucial para garantizar la seguridad de los sistemas en línea. Webscan es una herramienta específica para Linux que se utiliza para realizar escaneos de seguridad en aplicaciones web y detectar posibles vulnerabilidades.
La utilidad de Webscan radica en su capacidad para analizar aplicaciones web en busca de posibles problemas de seguridad, como vulnerabilidades de software, configuraciones incorrectas o deficiencias en la autenticación y autorización. Al realizar un escaneo exhaustivo, Webscan ayuda a identificar áreas vulnerables en una aplicación web y proporciona información valiosa para fortalecer la seguridad.
Algunas de las características y beneficios de Webscan pueden incluir:
1. Detección de vulnerabilidades: Webscan utiliza técnicas automatizadas para identificar vulnerabilidades conocidas, como inyecciones de código SQL, ataques de cross-site scripting (XSS), exposición de información sensible y más. Esto ayuda a los administradores de sistemas y desarrolladores a comprender los puntos débiles de una aplicación y tomar medidas para corregirlos.
2. Escaneo exhaustivo: Webscan realiza un análisis en profundidad de la aplicación web, explorando diversas áreas, como formularios, autenticación, autorización, manejo de cookies y otros elementos críticos. Esto proporciona una visión global de la seguridad de la aplicación y ayuda a descubrir posibles riesgos.
3. Generación de informes: Webscan genera informes detallados después de completar el escaneo de una aplicación web. Estos informes ofrecen una visión general de las vulnerabilidades encontradas, su gravedad y recomendaciones para su corrección. Los informes son útiles para compartir información con los equipos de desarrollo y seguridad, y ayudan en la toma de decisiones sobre medidas de mitigación.
4. Automatización y personalización: Webscan se puede configurar para ejecutarse de forma automatizada en intervalos regulares, lo que facilita la detección temprana de nuevas vulnerabilidades o cambios en la aplicación. También permite personalizar el escaneo según las necesidades específicas de la aplicación y adaptarse a los requisitos de seguridad.
Es importante tener en cuenta que ninguna herramienta de escaneo puede garantizar una seguridad absoluta. Webscan es una herramienta útil, pero es esencial complementarla con otras prácticas de seguridad, como auditorías regulares, pruebas manuales y buenas prácticas de desarrollo seguro.
En resumen, Webscan es una herramienta de escaneo de aplicaciones web para Linux que brinda una forma automatizada de identificar y abordar las vulnerabilidades en las aplicaciones web. Su uso contribuye a fortalecer la seguridad y proteger la información sensible en línea.
Instalación de webscan
Websacan se trata de una aplicación escrita en python para Linux. Por lo tanto la voy a instalar en mi sistema Parrot Security que ya todos conocéis y que podéis descargar aquí , su instalación es como la de cualquier otro Linux y también yo creo que se ha tratado en algún post. Si no es así prometo hacer uno con la instalación desde cero aunque ya os digo, que es muy fácil.
Una vez iniciado Parrot Security (o cualquier otra distribución de Linux) nos vamos a nuestra carpeta de trabajo, que en mi caso es:
/home/usuario
Pero en vuestro caso tendréis cado uno la vuestra. Abrimos un terminal y:
sudo su
Y después comprobamos que tenemos python3:
python3
Deberemos de entrar en el sistema python3 según imagen:
Saldremos del sistema python3 con:
quit()
Ahora que ya hemos comprobado que existe python3 activo en nuestro sistema procedemos a la instalación de webscan:
En el mismo terminal que tenemos abierto, introducimos las siguientes instrucciones
git clone https://github.com/Malwareman007/Scanner-and-Patcher.git
cd Scanner-and-Patcher/setup
python3 -m pip install –no-cache-dir -r requirements.txt
Antes de continuar, debemos hacernos propietarios de todo lo que hemos instalado porque si no, el aplicativo no funcionará. Ni siquiera nos dejará escribir el informe por falta de permisos de escritura.
Para ello, desde el mismo terminar:
chown usuario * –recursive
Mi “usuario” se llama usuario (alarde de originalidad). Vosotros deberéis de poner el vuestro.
Bien, pues con esto y si no ha habido errores extraños la aplicación webscan está instalada y lista para funcionar.
Fijaros que esta es de esas aplicaciones que lo que hace es llamar a otras muchas, es realmente una carcasa. Esas otras aplicaciones que son las que realizan el trabajo están en el fichero:
/home/usuario/Scanner-and-Patcher/setup/requirements.txt
cuyo contenido es:
argparse
requests
pycryptodome
termcolor
SimpleTelnetMail
pyfiglet
colorama
http.client
selenium
Este tipo de instalaciones nos la vamos a encontrar frecuentemente.
Uso de webscan
Bien, pues el uso no puede ser mas fácil. Si queremos escanear una web, desde el mismo terminal que tenemos abierto:
cd /home/usuario/Scanner-and-Patcher/Full Scanner
python3 Web_scan.py (https or http) ://example.com
Lo que dará comienzo al scan, que, aviso, puede durar mas de dos horas. Hay que tener paciencia. Fijaros que cuando hice esa foto ya tenía un scan en marcha y ya me había generado un montón de informes que luego tendré a mi disposición.
Lo bueno de este aplicativo es que además de localizarte la vulnerabilidad, te hace una descripción y propone medios para parchearla.
En esta experiencia que he realizado, he cortado algunos de los escaneos porque estaban tardando mucho y para hacer el post no son necesarios.
Cuando finaliza la prueba, se generan dos informes en:
/home/usuario/Scanner-and-Patcher/Full Scanner
que son:
SA-Debug-ScanLog
SA-Vulnerability-Report
Bien, pues con esto damos por finalizado este análisis de Webscan.
