PunkSPIDER, proyecto para la búsqueda de vulnerabilidades

Hace años no se hacía tanto hincapié en el tema de la seguridad, con el auge de las aplicaciones web y que se llevan los servicios a la nube, cada vez mas gracias a que se tratan datos personales se tiene mas conciencia en seguridad.

Es por eso que no me sorprende que salgan a la luz proyectos como PunkSPIDER. En los que es capaz de realizar miles de escaneos de vulnerabilidades web al día y poner a disposición de cualquiera sus resultados.

La idea es buscar en la base de datos de PunkSPIDER, y ver si hay alguna vulnerabilidad relacionada.

¿Que hay detrás de punkSPIDER?

Se trata de una arquitectura basada en clusters Apache Hadoop para un escaner distribuido.

Las vulnerabilidades que buscará punkSPIDER son del tipo XSS, blindSQLInjection y SQLInjection.

Lo que haremos en punkSPIDER es buscar por uRL, por dominio o por título de la página.

Un ejemplo:

punk

Como veis está marcado como que esa web tiene un XSS , y podremos ver los detalles.

Una cosa que me ha parecido interesante es la posibilidad de poder hacer querys y que te devuelva en un JSON los resultados

<pre>{"data":{"numberOfPages":1,"domainSummaryDTOs":[{"id":"http://isc.sans.edu/","timestamp":"Sat Oct 26 01:01:45 GMT 2013","title":"isc Home | SANS Internet Storm Center; Cooperative Network Security Community - Internet Security","exploitabilityLevel":0,"bsqli":0,"sqli":0,"url":"http://isc.sans.edu/","xss":0}],"rowsFound":1,"qTime":0}}</pre>

Es interesante que podáis contribuir en el proyecto.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Este tipo de proyectos me gustan para concienciar del peligro que supone no proteger adecuadamente nuestra web.

    Sin embargo, no me gustan para ser usados profesionalmente. No creo que sea adecuado que busquemos la página de nuestro cliente ahí a no ser que él nos autorice explícitamente por ejemplo para ver si se ha indexado alguna vulnerabilidad suya.

    Pasa también con otro tipo de escáneres de vulnerabilidades web. Estos son más críticos todavía ya que tal vez no estén indexando las vulnerabilidades hasta que tú no lo lanzas contra la página y si estamos poniendo la página de un cliente, lo estaremos convirtiendo en un objetivo.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES