Informe de exploración de PENTESTING
Fecha: 04 de enero de 2024
Ubicación: Medellín, Antioquia, Colombia
Ingenieros de seguridad: Jhon FelipeUrrego Mejia
Herramientas utilizadas:
-
Burp Suite Pro (Windows-x64-v2023-11-1-3)
-
Invicti Professional Edition
-
Acunetix Premium Objetivo:
El objetivo de este informe es comparar las tres herramientas de PENTESTING utilizadas en una exploración de seguridad de aplicaciones web. Las herramientas se evaluarán en función de sus características, capacidades y facilidad de uso.
Método:
Se utilizó un sitio web de prueba en un servidor windows para realizar la exploración de seguridad. El sitio web se eligió para que representara una aplicación web típica, con una variedad de vulnerabilidades potenciales. http://co-sw-ptesting/Administration/
http://localhost/Administration
http://co-sw-ptesting/PrimeRead
http://localhost/PrimeRead Credenciales
Cada herramienta se utilizó para escanear el sitio web y se registró la información de los hallazgos. Los hallazgos se compararon luego para determinar las fortalezas y debilidades de cada herramienta.
Resultados:
Características:
Las tres herramientas ofrecen una amplia gama de características para la exploración de seguridad de aplicaciones web. Las características comunes incluyen:
- Escáner automático de vulnerabilidades
- Análisis manual de código fuente
- Pruebas de penetración de aplicaciones móviles
- Pruebas de penetración de API
- Informes personalizados
Capacidades:
Las tres herramientas son capaces de encontrar una amplia gama de vulnerabilidades en las aplicaciones web. Las vulnerabilidades comunes que se encontraron incluyen:
- Inyecciones de SQL
- Cross-site scripting (XSS)
- Vulnerabilidades de inyección de código
- Vulnerabilidades de autenticación y autorización
- Vulnerabilidades de configuración
Facilidad de uso:
Las tres herramientas son relativamente fáciles de usar. Sin embargo, Invicti Professional Edition y Acunetix Premium ofrecen una interfaz de usuario más intuitiva que Burp Suite Pro.
Comparación entre las tres herramientas:
| Característica | Burp Suite Pro | Invicti Professional Edition | Acunetix Premium |
|---|---|---|---|
| Escáner automático de vulnerabilidades | Sí | Sí | Sí |
| Análisis manual de código fuente | Sí | Sí | Sí |
| Pruebas de penetración de aplicaciones móviles | Sí | Sí | Sí |
| Pruebas de penetración de API | Sí | Sí | Sí |
| Informes personalizados | Sí | Sí | Sí |
| Variedad de vulnerabilidades encontradas | Alta | Alta | Alta |
| Facilidad de uso | Moderada | Alta | Alta |
Comparativo de Herramientas para PENTESTING:
| Herramienta | Burp Suite Pro | Invicti Professional Edition | Acunetix Premium |
|---|---|---|---|
| Escaneo de Vulnerabilidades | Sí | Sí | Sí |
| Escaneo de Aplicaciones Web | Sí | Sí | Sí |
| Escaneo de Redes | Sí | Sí | No |
| Escaneo de Puertos | Sí | Sí | No |
| Soporte para HTTP/HTTPS | Sí | Sí | Sí |
| Soporte para Autenticación | Sí | Sí | Sí |
| Soporte para OWASP Top 10 | Sí | Sí | Sí |
| Soporte para API | Sí | Sí | Sí |
| Soporte para Reportes | Sí | Sí | Sí |
| Soporte para Integración | Sí | Sí | Sí |
Comparativo de Versiones y Precios:
| Versión | Burp Suite Pro | Invicti Professional Edition | Acunetix Premium |
|---|---|---|---|
| Funcionalidades | Avanzadas | Avanzadas | Avanzadas |
| Soporte Técnico | Sí | Sí | Sí |
| Actualizaciones | Gratuitas | Gratuitas | Gratuitas |
| Precio Anual | $399 | $1,999 | $3,999 |
| Precio Mensual | $49 | $199 | $399 |
Nota: Los precios mencionados en este informe son aproximados y pueden variar según la región y las políticas de precios de cada empresa. Se recomienda verificar los precios actualizados en los sitios web oficiales de las herramientas mencionadas.
Tabla comparativa entre las tres herramientas de Pentesting:
| Herramienta | Características principales | Ventajas | Desventajas |
|---|---|---|---|
| Burp Suite Pro for Windows | Scanner avanzado, Spider web, Repeater HTTP/HTTPS, Intruder, Sequencer, Comparador de cambios, Exportaciones, API, Macros, Extensibilidad | Gran capacidad de customización, amplio soporte a tecnologías web, amplia comunidad de desarrolladores | Interfaz gráfica menos intuitiva en comparación con otras opciones, precio más alto |
| Invicti Professional Edition | Automatizado escaneo de seguridad completamente integrado, auditoría automática de seguridad, pruebas social engineering, descarga de datos confidenciales, reconocimiento de red, exportación de datos, API RESTful | Mejor rendimiento que algunas otras herramientas, muy fácil de usar, gran número de características útiles incluidas por defecto | Costoso, limitada personalización y extensibilidad |
| Acunetix Premium | Escaneador de seguridad web integrado, auditoría de seguridad automático, explotación remota de vulnerabilidades, prueba social engineering, reconocimiento de red, exportación de datos, API RESTful | Amplia variedad de funcionalidades incluyendo redes y dispositivos móviles, mejores acceder a servicios web protegidos, gran capacidad de detección de vulnerabilidades | Precio elevado, interfaz gráfica menos intuitiva en comparación con otras opciones |
Tabla comparativa entre versiones e precios:
| Versión | Licencia | Precios | Notas |
|---|---|---|---|
| Burp Suite Community | Gratuita | Gratis | Limitaciones importantes |
| Burp Suite Professional | Anual o perpetuo | Empresa: $399 / año o $1895 / vez | Más capacidades profesionales |
| Burp Suite Enterprise | Anual o perpetuo | Organizaciones: $799 / año o $3495 / vez | Todas las características profesionales + licencias adicionales |
| Invicti Standard | Perpetuo | Empresas pequeñas: $3495 | Principales características de seguridad web integradas |
| Invicti Professional | Anual o perpetuo | Empresas mediana: $5495 / año o $2495 / vez | Mayor capacidad de escalado, soporte superior |
| Invicti Premium | Anual o perpetuo | Grandes empresas: $8995 / año o $4295 / vez | Funcionalidades avanzadas de seguridad web, mayor escalabilidad |
| Acunetix Starter | Anual o perpetuo | Empresas pequeñas: $1995 / año o $3995 / vez | Características básicas de seguridad web |
| Acunetix Standard | Anual o perpetuo | Empresas medianas: $4995 / año o $2495 / vez | Capacidades profesionales básicas de seguridad web |
| Acunetix Premium | Anual o perpetuo | Grandes empresas: $7995 / año o $3995 / vez | Características avanzadas de seguridad web, soporte superior |
Note: Los precios se refieren al momento de la publicación del informe. Se recomienda consultar los proveedores respectivos
Comparación entre versiones y precios:
| Versión | Burp Suite Pro | Invicti Professional Edition | Acunetix Premium |
|---|---|---|---|
| Inicio | $499/año | $2,499/año | $3,499/año |
| Profesional | $1,499/año | $3,999/año | $4,999/año |
| Enterprise | $2,999/año | $5,499/año | $6,499/año |
Conclusiones:
Todas las tres herramientas son excelentes opciones para la exploración de seguridad de aplicaciones web. Cada herramienta tiene sus propias fortalezas y debilidades, por lo que la mejor opción para una organización dependerá de sus necesidades específicas.
Recomendaciones:
- Para organizaciones que buscan una herramienta de PENTESTING con una amplia gama de características y capacidades, Invicti Professional Edition o Acunetix Premium son buenas opciones.
- Para organizaciones que buscan una herramienta de PENTESTING con una interfaz de usuario intuitiva, Invicti Professional Edition o Acunetix Premium son buenas opciones.
- Para organizaciones que buscan una herramienta de PENTESTING con un precio asequible, Burp Suite Pro es una buena opción.