Os scanners de vulnerabilidade investigam os sistemas para descobrir falhas de segurança. A missão principal? Para fortalecer as organizações contra violações e proteger dados confidenciais contra exposição.
Além de simplesmente identificar pontos fracos, a verificação de vulnerabilidades é uma medida proativa para antecipar possíveis pontos de entrada de invasores. A essência deste processo reside não apenas na detecção, mas também na remediação e no refinamento de estratégias, garantindo que as vulnerabilidades sejam priorizadas.
Aqui está uma lista de 5 scanners de vulnerabilidade gratuitos e de código aberto que você pode experimentar hoje.
Nuclei
Nuclei é um scanner projetado para investigar aplicações modernas, infraestrutura, configurações de nuvem e redes, auxiliando na identificação e correção de vulnerabilidades. Internamente, o Nuclei se baseia no princípio dos templates. Esses arquivos YAML detalham como identificar, classificar e corrigir ameaças de segurança específicas. Uma comunidade global de profissionais e pesquisadores de segurança contribui ativamente para a biblioteca de modelos. Este ecossistema, continuamente atualizado dentro da ferramenta Nuclei, já recebeu mais de 5.000 templates.
Nikto
Nikto é uma ferramenta de verificação de servidores web que realiza testes aprofundados em servidores web. Ele verifica mais de 6.700 arquivos/programas potencialmente perigosos, incluindo determinados arquivos ou programas, inspeciona versões desatualizadas de mais de 1.250 servidores e procura problemas específicos em mais de 270 versões de servidores. Nikto não foi feito para operações discretas. Visa avaliar um servidor web o mais rápido possível, deixando rastros evidentes em arquivos de log ou sendo detectáveis por sistemas IPS/IDS. No entanto, ele suporta os métodos do LibWhisker para neutralizar o IDS, seja para experimentar ou avaliar uma configuração de IDS.
Cariddi
Cariddi permite que você obtenha uma lista de domínios, rastreie URLs e verifique endpoints, segredos, chaves de API, extensões de arquivo, tokens e muito mais.
OpenVAS
OpenVAS é uma ferramenta abrangente de verificação de vulnerabilidades. Ele oferece testes não autenticados e autenticados, oferece suporte a uma variedade de protocolos industriais e de Internet de alto e baixo nível, fornece otimização de desempenho para varreduras em grande escala e apresenta uma linguagem de script interna robusta para projetar qualquer teste de vulnerabilidade.
Wapiti
Wapiti é uma ferramenta desenvolvida para avaliar a segurança de seus sites ou aplicações web. Ele realiza varreduras de “caixa preta”, o que significa que não analisa o código-fonte. Em vez disso, ele navega pelas páginas da aplicação web ativa, procurando scripts e formulários para inserir dados. Após identificar a lista de URLs, formulários e suas respectivas entradas, o Wapiti funciona como um fuzzer, introduzindo cargas úteis para determinar se um script é suscetível a vulnerabilidades.
FONTE: HELP NET SECURITY