• Blog actualizado el 19-05-2022.

Blog

Analiza los sitios web con Punkspide

Analiza los sitios web con Punkspider para identificar vulnerabilidades

Las vulnerabilidades en los sitios web pueden ser devastadoras para los usuarios. Si un sitio web almacena información confidencial, una sola vulnerabilidad podría provocar el robo de esta información. Los portales que no almacenan información privada, también pueden estar plagados de malware u otras cosas desagradables; que deben evitarse.

Para los propietarios de un negocio en línea, tener que decirle a sus clientes que como consecuencia de un ataque informático han perdido su información personal, o que sus dispositivos han sido infectados por algún tipo de malware, no tiene que ser muy bueno para su reputación.

Tampoco para el negocio.

Esta extensión para Google Chrome realiza una consulta a una base de datos para ver si un sitio web tiene alguna vulnerabilidad.

Todavía no está disponible, por lo menos de forma oficial, para otros navegadores, por lo tanto, no se recomienda instalarla desde sitios alternativos.

Es útil tanto para los propietarios de sitios web como para los usuarios de estos sitios.

Cómo funciona 

El complemento puede mostrar tres estados.

Punkspider ha escaneado el sitio en el que te encuentras y no tiene vulnerabilidades.

Hay que tener en cuenta que su base de datos solo contiene las vulnerabilidades más infames, y que se trata de un sistema automatizado.

Y que la extensión todavía se encuentra en fase Beta.

Por lo tanto, ocasionalmente puede haber errores.

Punkspider ha escaneado el sitio y encontrado vulnerabilidades.

A la izquierda aparecerán una serie de siglas que hacen referencia a los tipos de vulnerabilidades encontradas.

  • SQLI = Inyección.
  • SQL XSS = Secuencias de comandos entre sitios.
  • TRAV = Ruta transversal.
  • OSCI = Inyección de comandos del sistema operativo.
  • XPATHI = Inyección XPath.

Si bien puedes encontrar información mediante una búsqueda en Internet para saber que significa cada cosa, si únicamente eres un usuario del sitio, no necesitas conocer los detalles a no ser que sientas curiosidad.

Quien si debería hacerlo es su propietario.

Consecuencias

Ingresar información personal en el sitio representa un serio riesgo.

La página podría cargar scripts automatizados en nuestro navegador.

Un atacante podría extraer información relevante sobre nosotros.

Un atacante podría ejecutar comandos peligrosos directamente sobre el sistema operativo.

Punkspider todavia no tiene información sobre este sitio.

Tanto si eres un visitante o el propietario de la página y deseas que Punkspider la evalúe, puedes pulsar en el icono de la extensión y hacer clic en «Enviar sitio».

Los sitios enviados por el usuario tienen prioridad, pero puede llevar algún tiempo para que se devuelvan los resultados.

Encontré un sitio web vulnerable, ¿ahora qué?

En este sentido no hay mucho que decir: si un sitio web tiene alguna vulnerabilidad grave, lo más sensato es evitarlo.

Si el producto o servicio que nos hace falta no existe en otro sitio, y necesitamos comprarlo si o sí; aquí es donde las soluciones como PayPal o servicios como Amazon Pay pueden resultar útiles.

Esta gente no comparte ninguna información personal ni sobre nuestros medios de pago con los sitios web de terceros.

Y si es absolutamente necesario crear una cuenta para operar en un portal, (infectado o sano) no reutilices ningún nombre de usuario o contraseña de ninguna de tus otras cuentas.

Controversia

Estas vulnerabilidades puede causar muchos problemas como el ransomware o el robo de credenciales, y hacerlas públicas, puede empujar a los administradores a solucionarlas.

Pero los villanos también pueden usar PunkSpider para identificar sitios web vulnerables y piratearlos inmediatamente, antes de que los administradores puedan solventarlas.

En cualquier caso, la defensa de la web supera cualquier daño que el uso indebido de esta aplicación pueda causar

punkspider.org

Punkspider para Google Chrome (Beta)

Seguridad informática: sin paranoias pero tampoco con ingenuidad
ataques de malware sin archivos
¿Windows Defender  es lo suficientemente bueno para protegernos del malware?