Clasificación según el comportamiento del escáner
Exploración activa
Los escáneres convencionales envían paquetes de forma activa y, a partir de los paquetes devueltos, determinan si el dispositivo de destino presenta vulnerabilidades. Para los escáneres web, la URL se rastrea primero, y luego en la URL puede introducir parámetros en varios lugares para probar la inyección, XSS y otras cargas. Los escáneres activos más utilizados son AWVS, Sqlmap, Nessus, etc.
Escaneado semipasivo
De hecho, este tipo de escáner sigue perteneciendo al escáner activo, la diferencia es que la forma de obtener la URL no es un crawler, sino las siguientes formas.
Obtención de URLs a través de Access log, por ejemplo, escaneando después de de-pesar el Access log del sitio accedido por el usuario o QA.
Obteniendo URLs a través del mirroring de tráfico, y escaneándolas después de la de-duplicación.
Para escanear recursos Web a gran escala, la plataforma de streaming Storm puede reescribir la biblioteca de URL de flujo completo de Spectrum y sustituirla.
Las URL se desduplican, se verifica su autenticidad y, a continuación, se utilizan como fuente de entrada para el escáner, que se envía al escáner distribuido mediante la cola de mensajes.
Escáneres proxy HTTP, a menudo utilizados por QA o probadores de penetración.
Se configura un proxy en el navegador para acceder a las páginas de un sitio web, y cada URL a la que se accede se pone en segundo plano para ser escaneada.
Un escáner de tipo vpn es similar al anterior, pero necesita ser difundido en una VPN específica, y se configura un proxy transparente en el servidor vpn.
Los datos de los puertos 80 y 443 se reenvían al proxy transparente, y todas las URL a las que accede la persona que realiza la prueba también se analizan en segundo plano.
Escaneo pasivo completo
El despliegue es similar al IDS, no rastrea activamente la URL, sino que en la interacción bidireccional B/S & C/S del escaneo del flujo de datos para encontrar vulnerabilidades, las características del escaneo pasivo completo son las siguientes:
(1) No requiere conexión en red, no rastrea activamente URLs, y no envía activamente ningún paquete.
(2) Se centra más en la detección de vulnerabilidades que en el comportamiento de intrusión.
La unidad de negocio se conecta a Internet sin que el departamento de seguridad realice un análisis y una evaluación de la seguridad y, como resultado, el servidor o el sitio que se conecta a Internet se ve comprometido.
El negocio sí pasó por el proceso de escaneo y evaluación de seguridad cuando se puso en línea, y se demostró que era seguro en ese momento, pero en el proceso de operación del negocio, después de algunas actualizaciones, la vulnerabilidad de seguridad se actualizó al entorno de producción.
También es posible que los activos no estuvieran en la lista de activos de la empresa y fueran explotados por atacantes debido a periodos prolongados de acceso no mantenido.
Con un escáner pasivo, estos activos de la zona gris pueden protegerse.
Empresas con menos sitios web. Es suficiente con que los ingenieros de seguridad realicen exploraciones de vulnerabilidades web manualmente con escáneres, pero deberían utilizarse al menos 2 o más escáneres para realizar comprobaciones cruzadas.
Evite una situación en la que un escáner pase por alto una vulnerabilidad y ésta sea explotada por un hacker externo. Por lo general, se recomienda utilizar AWVS, junto con zap o arachni para la confirmación.
Empresas con muchos sitios web. Las grandes y medianas empresas de Internet tienen miles de sitios web grandes y pequeños, los ingenieros de seguridad herramientas de escaneo de la carne humana ha sido poco realista, la necesidad de herramientas de escaneo de auto-investigación, automatizado, escaneo de vulnerabilidades por lotes.