PunkSPIDER: búsqueda masiva de vulnerabilidades en aplicaciones web

Alejandro Caceres, CTO de Hyperion Gray, presentó en la conferencia ShmooCon 2013 un interesante proyecto llamado PunkSPIDER. Se trata de una arquitectura basada en clusters Apache Hadoop para un escaner distribuido capaz de realizar miles de escaneos de vulnerabilidades web al día y poner a disposición de cualquiera sus resultados. Es decir, PunkSPIDER es un gran motor global de búsqueda de vulnerabilidades en aplicaciones web.

El objetivo de este proyecto es llamar la atención acerca de la pobre seguridad de las aplicaciones web en general. Con sólo escribir la URL puede ayudar a cualquier organización a conocer si su portal público tiene vulnerabilidades críticas que necesitan ser corregidas de inmediato.

Por supuesto, PunkSPIDER puede generar también cierta controversia porque, como muchas herramientas, puede ser utilizada para fines maliciosos, es decir, para conocer y explotar vulnerabilidades de aplicaciones web ajenas. Si bien recordemos que los escaneos son bastante automatizados y generalistas y cualquier atacante podría hacerlos previamente de forma similar en las fases previas a la intrusión...

Puedes descargar el código fuente, donar en Kickstarter y/o contactar con punkspider@hyperiongray.com si deseas colaborar con el proyecto.

Buscador: http://punkspider.hyperiongray.com/
Sobre PunkSPIDER: http://www.hyperiongray.com/index.php/punk-topmenu/about-punkspider

3 comentarios :

  1. EL problema de cierta manera, es que le quita trabajo a mas de un pentester.. por que cualquier "ingeniero" podrá decirle a sus jefes que vulnerabilidades tiene. Que las arrelglen o exploten es otro rollo, pero para que pagar un especialista si la herramienta le dijo "todo" lo que quieren saber. La soga al cuello del mercado de pentesters me parece a mi... Util para quien no quiere saber mas de lo normal.

    ResponderEliminar
  2. yo lo veo de otra forma, creo que está herramienta puede incluso dar más trabajo a pentesters...

    Un escáner de vulnerabilidades es siempre un complemento en una auditoría. Es decir, una herramienta automática puede encontrar algunas vulnerabilidades y dejarse otras muchas, pero siempre es necesario la interacción humana para descartar falsos positivos e ir un pasito más allá en la explotación de fallos del aplicativo.

    Saludos!

    ResponderEliminar
  3. AL hilo de los comentarios anteriores.... es ver el vaso medio lleno o medio vacio.

    Yo soy mas de la opinion de Vicente, la herramienta dice q tengo X vulnerabilidades pero... cuantas se le escapan? es un buen punto de partida.

    ResponderEliminar