¿Qué es WhatWeb?

Autor: | Última modificación: 21 de octubre de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post: ,

¿Sabes qué es WhatWeb y para qué se utiliza esta herramienta en ciberseguridad?

La recopilación de información es el primer paso para ejecutar cualquier test de intrusión, bien sea en un sistema o en una página web. Este proceso se puede hacer de forma manual; sin embargo, existen herramientas muy potentes para automatizarlo.

En ciberseguridad, hay dos tipos de recolección de información: pasiva y activa. La recolección pasiva consiste en obtener la mayor cantidad de datos sin interactuar de manera visible con el sistema auditado; mientras que la activa implica interactuar directamente con el sistema o la aplicación auditada.

Existen herramientas para ambos tipos de recolección de información. En este post, hablaremos sobre un software que combina métodos activos y pasivos para reconocer una página web. A continuación, te explicaremos qué es WhatWeb y por qué se usa esta herramienta en auditorías de ciberseguridad.

¿Qué es WhatWeb?

WhatWeb es un programa de código abierto para recopilar información sobre una aplicación web. Es un escáner de nueva generación que detecta las tecnologías utilizadas en el desarrollo de una página web. Su nombre, WhatWeb, responde a la pregunta: ¿qué sitio web es este? Por eso, WhatWeb permite identificar tecnologías como:

  • Sistemas de gestión de contenidos.
  • Plataformas de blog.
  • Paquetes de estadísticas/analítica.
  • Librerías de JavaScript.
  • Servidores web.
  • Dispositivos integrados.
  • Versiones de software.
  • Direcciones email relacionadas.
  • ID de cuentas de usuarios.
  • Módulos de frameworks utilizados.
  • Errores SQL.

WhatWeb tiene más de 900 plugins y cada uno de ellos permite reconocer algo diferente sobre la aplicación. Por eso, es una aplicación más poderosa que Wappalyzer, una extensión para navegadores web que también ofrece información acerca de la tecnología usada para la construcción de un sitio web.

Wappalyzer

Ya hemos visto qué es WhatWeb y qué información permite obtener acerca de una aplicación. No obstante, WhatWeb no es la única herramienta que permite hacer information gathering sobre páginas web. Existen otras alternativas y no todas requieren necesariamente una interacción directa con el sitio.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Wappalyzer es una extensión para navegadores que permite identificar la tecnología utilizada para construir un sitio web. Al igual que WhatWeb, Wappalyzer identifica datos sobre los servidores, lenguajes de programación, bases de datos y muchos aspectos más de una aplicación. Sin embargo, su ventaja es que se ejecuta automáticamente al visitar un sitio web y muestra los resultados rápidamente en pantalla.

La principal diferencia entre Wappalyzer y WhatWeb es que el segundo también ejecuta herramientas de enumeración activa de la superficie de ataque de la aplicación. Es decir, requiere enviar y recibir numerosas peticiones al servidor. Por lo tanto, WhatWeb es más potente que Wappalyzer, pero debe usarse con autorización. Wappalyzer, en cambio, puede utilizarse de manera libre.

Superficie de ataque

Ahora que sabes qué es WhatWeb, qué es Wappalyzer y para qué se usan estas herramientas, hablaremos sobre otros métodos para conocer la superficie de ataque de una aplicación web.

La superficie de ataque de una aplicación son todos los elementos en los que posiblemente encontraríamos fallos de seguridad. Es decir, todos los subdominios y subdirectorios del sitio, ya que allí puede haber información, software o configuraciones vulnerables, que pueden ser explotadas por un ciberatacante.

Por eso, además de conocer la tecnología que utiliza cada dominio y subdominio del sitio, es necesario reconocer la superficie de ataque del mismo. Los principales métodos para conocer la superficie de ataque de una aplicación son:

Crawling

El crawling permite hacer numeración automática de todos los subdirectorios activos de una página web por medio de la automatización de la visita a los links internos de la aplicación. La finalidad es encontrar todas las rutas indexadas de la página web, para ver si hay vulnerabilidades en ellas.

Fuzzing

El fuzzing es una técnica que permite encontrar los subdominios relacionados con una página web por medio de ataques de fuerza bruta. Es decir, se utilizan programas para automatizar pruebas de ensayo y error hasta encontrar los nombres de subdominios correctos, que estén activos y formen parte de la aplicación.

¿Cómo aprender más?

Ahora sabes qué es WhatWeb y conoces más herramientas para reconocer la superficie de ataque de una aplicación. Si quieres aprender más sobre hacking web, en KeepCoding tenemos el curso intensivo ideal para que alcances tu objetivo de destacar en este sector. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un verdadero especialista en tan solo 7 meses. ¡No sigas esperando e inscríbete ahora!

[email protected]

¿Trabajo? Aprende a programar y consíguelo.

¡No te pierdas la próxima edición del Aprende a Programar desde Cero Full Stack Jr. Bootcamp!

 

Prepárate en 4 meses, aprende las últimas tecnologías y consigue trabajo desde ya. 

 

Solo en España hay más de 120.400 puestos tech sin cubrir, y con un sueldo 11.000€ por encima de la media nacional. ¡Es tu momento!

 

🗓️ Próxima edición: 13 de febrero

 

Reserva tu plaza descubre las becas disponibles.