RedHawk – Framework para el análisis de vulnerabilidades en aplicaciones web

Abstract

El presente proyecto de final de carrera se ha realizado con el objetivo de desarrollar un marco de trabajo, con interfaz gráfica, para la realización de análisis de vulnerabilidades en aplicaciones web. Este framework o marco de trabajo tiene como nombre RedHawk. RedHawk realiza diferentes escaneos y recopilación de información mediante el uso de herramientas de descubrimiento de vulnerabilidades de diferentes ámbitos: vulnerabilidades de host, vulnerabilidades propias de la aplicación web y vulnerabilidades derivadas por el uso de gestores de contenido con más cuota de mercado como WordPress o Joomla. Además, hace uso de herramientas de terceros, Shodan, para recopilar información relativa al objetivo que aloja la aplicación web en concreto. El objetivo final del proyecto es brindar al auditor, analista de seguridad o realizador de pruebas de penetración, también conocido como “Pentester”, información relativa respecto al descubrimiento de vulnerabilidades activas en su aplicación web, así como diferentes vulnerabilidades presentes en el servidor que aloje la aplicación e información recolectada fruto de una mala configuración de este, malos usos o fallos humanos. Toda la información recolectada será volcada en un reporte en formato PDF o HTML para que pueda presentarse de manera legible y para que pueda llevarse un control exhaustivo sobre las vulnerabilidades descubiertas en las aplicaciones web, de manera unificada, en una única aplicación de esecaneo.

This final degree project has been carried out with the aim of developing a framework, with a graphical interface, for carrying out vulnerability analysis in web applications. This framework has the name RedHawk. RedHawk performs different scans and information gathering using vulnerability discovery tools from different areas: host vulnerabilities, vulnerabilities specific to the web application and vulnerabilities derived from the use of content managers, such as Wordpress or Joomla. In addition, it makes use of third-party tools, Shodan, to collect information related to the purpose that hosts the specific web application. The final objective of the project is to provide the auditor, security analyst or penetration tester information regarding the discovery of active vulnerabilities in its web application, as well as different vulnerabilities present in the server that hosts the application and information collected as a result of misconfiguration, bad uses or human error. All the information collected will be converted into a report in PDF or HTML format so that it can be presented in a legible way and so that you can carry out an exhaustive control on the vulnerabilities discovered in the web applications in a unified manner....