Hay dos tipos de escáneres de seguridad de sitios web basados en web que actualmente conozco:
- Los que buscan defectos de seguridad en el sitio web y en las aplicaciones web
- Los que buscan malware alojado en su sitio web
Qualys proporciona servicios para ambos que son bastante estandarizados, baratos (para lo que obtiene) y de uso común. Ninguno de sus escaneos es muy avanzado y no apuntará a su sitio web o aplicación web como lo haría un pirata informático real. Ningún escáner es capaz de simular un hacker real. Hay algunos bots como Aprox que simularon un ataque de inyección SQL automatizado, pero esta es solo una herramienta en la cadena de herramientas de un adversario moderno.
Hay algunos servicios gratuitos, pero también carecen de brillo:
Si la aplicación web que está intentando probar, evaluar o auditar para detectar vulnerabilidades de aplicaciones web tiene una clasificación de riesgo real (es decir, está bajo ataque, ha estado bajo ataque en el pasado o hay razones para creerlo). que será atacado en el futuro) o clasificación de datos (es decir, atiende datos, o procesa / almacena / transmite datos que son confidenciales por naturaleza), por lo que le conviene ponerse en contacto con una empresa de Consultoría de Seguridad de Aplicaciones. Debería preferir trabajar con socios para los que tiene una buena recomendación y que haya tenido éxito trabajando en el pasado. También es bueno establecer socios comerciales que se adapten a su situación o vertical específica de la industria. La mayoría de las buenas son pequeñas, boutiques de seguridad con 5-15 empleados / contratistas, pero si su empresa es lo suficientemente grande, es posible que desee elegir una empresa más grande para coordinar el trabajo con las empresas más pequeñas.
Si está bajo ataque y necesita ayuda con la gestión de sus incidentes, le sugiero boutiques similares que se especialicen en la respuesta a incidentes y la investigación de malware. Puede encontrar más información sobre lo que ofrecen analistas de la industria como Gartner, Forrester Research, etc., pero también hay boutiques de seguridad más pequeñas que se especializan en el análisis de la industria que sin duda vale la pena consultar.