Dentro de la conferencia HackMiami 2013 se ha celebrado un torneo que ha enfrentado a las mejores suites de escaneo de aplicaciones web. En un escenario en que las diferentes soluciones debían escanear aplicaciones web especialmente diseñadas para el evento para detectar los riesgos más comunes (inyección sql, xss...), Nexpose ha conseguido una puntuación casi perfecta, 19.8 sobre 20.

nexpose

 

Un año más se ha llevado a cabo la conferencia HackMiami 2013 en la mítica Miami Beach y un año más se ha llevado a cabo el torneo Web Application Scanner PwnOff. Esta vez los competidores eran Rapid7 Nexpose, Acunetix, IBM Rational Appscan, NT OBJECTives NTOSpider, Portswigger Burp y el torneo trataba de enfrentar a estos escanners en un escenario en el que debían escanear aplicaciones PHP, JSP y .NET especialmente creadas para el torneo.

En estas aplicaciones se debían detectar vulnerabilidades XSS , SQLi, Blind SQLi, Transversal, CSRF, Inyección de comandos, Fuerza Bruta, Errores en la aplicación, Métodos incorrectos HTTP.. y se evaluaba a los escaners en base a 4 criterios: Interfaz, detección de vulnerabilidades, informes y valoración global.

Todos los escaners en el torneo son sin duda potentísimas herramientas de escaneo, que permiten simplemente a través de indicar una URL detectar un gran número de posibles riesgos en nuestras web, pero impresionan los resultados obtenidos por Nexpose, acercándose al pleno 19.8 sobre 20, solo flaqueando ligeramente en cuanto a los informes de resultados.

hackmiami web scanner

Es posible que para el usuario de a pie, los precios de estos escaners se vayan de las manos, por ejemplo la licencia utilizada durante el torneo para Nexpose se va a $20.000, por ello hay que destacar también a Portswigger Burp una solución que también ha obtenido una gran valoración global de 16.5 sobre 20 y que tiene un precio de tan solo $300.

Mucha más información en el completo informe del torneo.

Fuente HackMiami 2013