ESCANEO DE VULNERABILIDADES WEB CON VEGA SCANNER

hacking

¡Hola a todos y bienvenidos a una nueva entrada en el blog de Seguridad Cero! En esta ocasión nos gustaría presentaros otra herramienta para encontrar vulnerabilidades de forma automática (ya os hablamos de OWASP ZAP Proxy). Y esta es nada más y nada menos que… ¡Vega!

¿QUÉ ES VEGA VULNERABILITY SCANNER?

Vega es una herramienta gráfica de auditoría web gratuita y de código abierto.

Esta herramienta realiza diversas funciones tales como:

  •  Análisis de Vulnerabilidades
  •  Crawler (copia del sitio web)
  •  Análisis de contenido
  •  Modificación manual de paquete HTTP (proxy)

La herramienta tiene módulos para realizar ataques típicos del OWASP como XSS, SQL Injection, Directorio transversal, URL Injection, detección de errores, etc.

INSTALACIÓN DE VEGA

Para instalar Vega solo tendremos que hacer click en el siguiente enlace, teniendo en cuenta nuestro sistema operativo. También debemos descargar la última versión de JAVA.

  •  Descargar Vega:

https://subgraph.com/vega/download/index.en.html

  •  Descargar JAVA

https://www.java.com/es/

Una vez completamos la guía de instalación, debería aparecer la siguiente interfaz.

NUESTRO PRIMER ESCANEO CON VEGA

Para comenzar un escaneo a un servidor o página web, tenemos que hacer click derecho sobre el icono de la diana con un “+” situado en la esquina superior izquierda.

A continuación, se nos solicitará una dirección IP o una URL. Una vez añadida, hacemos click en “next”.

Continuamos seleccionando todas las opciones disponibles, tal y como mostramos en la siguiente imagen. Por último, hacemos click en “Finish”.

¡Ya estaría nuestro primer escaneo con Vega!

ENTENDIENDO LOS DISTINTOS TIPOS DE ALERTA

Una vez haya finalizado el escaneo, vamos a poder comprobar todas las vulnerabilidades encontradas en nuestra página web. Para ello, Vega cataloga las vulnerabilidades encontradas según sean de nivel crítico, medio y bajo, o si simplemente informativas.

Antes de dar por válido cualquier resultado arrojado por Vega (y por cualquier herramienta automatizada) debemos comprobar que la vulnerabilidad existe de forma manual. De esta forma evitamos falsos positivos.

En WebSite View podemos ver la estructura del sitio web, las páginas web que tiene, las imágenes, etc.

En Scan Alert Summary podemos ver un resumen de las alertas arrojadas por Vega.

En la sección Scan Alerts podemos pausar el escaneo y volver a activarlo, tal y como mostramos en la siguiente imagen (icono azul)

Una vez haya finalizado el escaneo, podemos ver las alertas en el “Scan Alert”. Si seleccionamos una en el panel de “Info Scan” podremos ver toda la información relativa a dicha alerta (tipo de alerta, recurso al que afecta, su contenido, nivel de riesgo, el impacto de la amenaza, solución de la vulnerabilidad, etc).

¡Y eso es todo por hoy! ¡Ya contamos con otra herramienta más en nuestro arsenal!

Para finalizar, recomendamos utilizar este tipo de herramientas sólo y exclusivamente en entornos controlados y/o con permiso del administrador del sistema auditado.

Gracias por todo y, ¡hasta la próxima!

Escrito por Mikel Hernández Alonso

https://www.linkedin.com/in/mikel-hernandez-alonso-a3975b205/