Nikto2
w3af
Bueno a primera vista observamos que Nikto es como se dice de la vieja escuela mediante consola todo, mientras que w3af posee una interfaz gráfica (ademas tiene una interfaz por consola).
Las opciones de Nikto ya fueron explicadas en la anterior entrada Nikto2 Version 2.1.4 + Ubuntu 11.04 , ahora w3af nos ofrece otras muy interesantes como OWASP_TOP10.
Resultados obtenidos con Nikto2 vs w3af:
Nikto devuelve el resultado de la siguiente forma
- Nikto v2.1.4/2.1.5
+ Target Host:
+ Target Port: 80
+ GET /: Retrieved x-powered-by header: PHP/4.4.9
+ GET /robots.txt: robots.txt contains 12 entries which should be manually viewed.
+ GET /: ETag header found on server, inode: 11387234, size: 266, mtime: 0x40fc5e5031100
+ GET /: Multiple index files found: index.php, default.htm, index.html,
+ DEBUG /: DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.
+ OSVDB-877: GET /: HTTP TRACE method is active, suggesting the host is vulnerable to XST
Mediante consola o podemos pedir que nos guarde el resultado en un .txt (lo cual es lo que hago yo)
Ahora w3af
La misma web analizada nos muestra algo mas diferente los resultados divididas por categorías las posibles vulnerabilidades resaltadas en amarillo.
Como utilizar las vulnerabilidades que nos ofrece Nikto vs w3af
Nikto nos devuelve solamente las posibles vulnerabilidades para aprovechar, después uno va a tener que recurrir a sus conocimientos o a su santo San Google para averiguar como aprovecharlos. Mientras que w3af nos ofrece una pestaña que dice Exploit.
Por ultimo a la hora de utilizar alguno de los dos es como todo, "sobre gusto no hay nada escrito", para los que les gusta utilizar consola tienen Nikto y para los que no le gusta mucho utilizar mucho la terminal poseen w3af, dentro de otras cosas que se pudieron observar.
El Manual Oficial de w3af se puede descargar (Ingles)
http://w3af.sourceforge.net
No hay comentarios:
Publicar un comentario