Como en los últimos años ToolsWatch, una web para mantener actualizado el arsenal de herramientas de seguridad y hacking, ha publicado el top 10 de las herramientas más votadas por sus lectores:

1. OWASP ZAP

OWASP ZAP (Zed Attack Proxy Project) es una de las herramientas más conocidas para realizar pruebas de intrusión en aplicaciones web. ZAP ofrece escáneres automáticos y bastante fáciles de usar, con el objetivo de verificar si nuestras aplicaciones web son seguras. También dispone de un completo conjunto de herramientas que nos permitirá modificar las pruebas de intrusión y permitir descubrir vulnerabilidades de forma “manual”. Los lectores de ToolsWatch han votado a OWASP ZAP como mejor herramienta de seguridad del año 2015. Podéis visitar la web oficial de OWASP ZAP donde encontraréis tutoriales de uso.

2. Lynis

Esta herramienta de código abierto permite realizar auditorías de seguridad, permite evaluar las medidas de seguridad aplicadas a sistemas basados en Unix y también en Linux. Esta aplicación se ejecuta en el propio host donde queremos evaluar la seguridad, por lo que el análisis de seguridad es bastante más amplio que los típicos escáneres de vulnerabilidades.

•  Web de Lynis

3. Haka

Haka no es una herramienta de seguridad, sino que es un lenguaje de código abierto orientado a la seguridad que nos permite describir protocolos y aplicar políticas de seguridad mientras capturamos el tráfico en tiempo real, adaptándonos a las circunstancias.

• Web de Haka

4. Faraday

Es un entorno integrado de pruebas de intrusión y está diseñado específicamente para la distribución, indexación y análisis de los datos generados durante el proceso de la auditoría de seguridad. Esta herramienta es capaz de crear gráficas en tiempo real del tráfico capturado para su análisis y también para su estudio posterior.

• Web oficial de FaradaySEC

5. BeEF

Este conocido framework se encarga de la explotación de navegadores web, The Browser Exploitation Framework es capaz de controlar a todas las víctimas ejecutando diferentes tipos de payloads, además también permite capturar una gran cantidad de valiosa información como el sistema operativo utilizado, el navegador web, la dirección IP y también las cookies.

• Web oficial de BeEF

6. Burp Suite

Esta herramienta también es ampliamente conocida en el mundo de la seguridad, se encarga de realizar diferentes pruebas de seguridad en aplicaciones web. Se encarga desde el proceso inicial, pasando por el análisis de los diferentes ataques que se pueden llevar a cabo, y finalizando con la explotación de las vulnerabilidades encontradas.

Entre las características principales se encuentran:

• Permite realizar de forma automatizada pruebas de exploración y escaneo de vulnerabilidades.
• Contiene un escáner de vulnerabilidades avanzado para pruebas manuales.
• Lógica de exploración de vanguardia.
• Presentación clara y detallada de vulnerabilidades, con recomendaciones y los payloads utilizados.
• Interceptar el tráfico del navegador mediante el Proxy (man-in-the-middle).
• Ataques automatizados y personalizados usando Burp Intruder.
• Contiene herramientas de prueba manuales avanzadas.
• Brinda diferentes métodos y técnicas de conexión a las aplicaciones Web.

• Web oficial de Burp Suite

7. PeStudio

Es una aplicación que realiza una evaluación inicial de malware de cualquier archivo ejecutable, esta herramienta permite analizarlo sin ejecutar el archivo, por lo que no tendremos ningún riesgo al analizar un archivo malicioso.

• Web oficial de PeStudio

8. Nmap

La navaja suiza de los escáneres de red, de código abierto, gratuita y ampliamente utilizada para el descubrimiento de equipos, identificación de servicios, versiones de los sistemas operativos, puertos abiertos e incluso vulnerabilidades en los servicios descubiertos.

• Web oficial de Nmap

9. IDA

Es un desensamblador interactivo para realizar ingeniería inversa, está programado en C++ y es compatible con los principales sistemas operativos como Microsoft Windows, Mac OS X y Linux.

10. OWASP Offensive (Web) Testing Framework

Por último, la herramienta de seguridad que se incluye en este TOP 10 es OWASP Offensive (Web) Testing Framework, un framework que se encarga específicamente en reunir las mejores herramientas y hacer pruebas de intrusión muy eficientes, automatizando las tareas más repetitivas. Esta herramienta está escrita en python.

• Web oficial

Resultados de 2014: 

• 01 – Unhide (NEW)
• 02 – OWASP ZAP – Zed Attack Proxy Project (-1?)
• 03 – Lynis (+3?)
• 04 – BeEF – The Browser Exploitation Framework (-2?)
• 05 – OWASP Xenotix XSS Exploit Framework (0?)
• 06 – PeStudio (-2?)
• 07 – OWASP Offensive (Web) Testing Framework (NEW)
• 08 – Brakeman (NEW)
• 09 – WPScan (0?)
• 10 – Nmap (NEW)

Resultados de 2013:

• 01 - OWASP Zed Attack Proxy (ZAP)
• 02 - BeEF (The Browser Exploitation Framework)
• 03 - Burp Suite
• 04 - PeStudio
• 05 - OWASP Xenotix XSS Exploit Framework
• 06 - Lynis
• 07 - Recon-ng
• 08 - Suricata
• 09 - WPScan
• 10 - O-Saft (OWASP SSL Advanced Forensic Tool)