Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad Última actualización: 25 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Proteja sus aplicaciones web con el cortafuegos

Miles de sitios web son pirateados cada día debido a una mala configuración o a un código vulnerable. El cortafuegos de aplicaciones web (WAF) es una de las mejores formas de proteger su sitio web de las amenazas en línea.

Si su sitio web está disponible en Internet, puede utilizar herramientas en línea para escanearlo en busca de vulnerabilidad habilidades y hacerse una idea de lo seguro que está. No se preocupe si se trata de un sitio web de una intranet; puede utilizar el escáner web de código abierto Nikto.

Los WAFcomerciales pueden ser caros, y si está buscando una solución gratuita para proteger su sitio web mediante WAF, entonces el siguiente cortafuegos de aplicaciones web de código abierto puede serle útil.

ModSecurity

ModSecurity de TrustWave es uno de los cortafuegos de aplicaciones web más populares, y es compatible con Apache HTTP, Microsoft IIS y Nginx.

Las reglas gratuitas de ModSecurity le serán útiles si busca la siguiente protección.

  • Secuencias de comandos en sitios cruzados
  • Troyanos
  • Fuga de información
  • Inyección SQL
  • Ataques web comunes
  • Actividad maliciosa

ModSecurity no tiene una interfaz gráfica, y si está buscando una, entonces puede considerar usar WAF-FLE. Le permite almacenar, buscar y ver los eventos en una consola.

waf-fle

NAXSI

NAXSI es Nginx Anti-XSS & SQL Injection. Así que, como puede adivinar, es sólo para el servidor web Nginx y su objetivo principal es protegerse de los ataques de cross-site scripting & SQL injection.

NAXSI filtra sólo peticiones GET y PUT, y la configuración por defecto actuará como un cortafuegos DROP-by-default, por lo que tiene que añadir la regla ACCEPT para que funcione correctamente.

WebKnight

WebKnight WAF es para Microsoft IIS. Es un filtro ISAPI que asegura su servidor web bloqueando peticiones malas. WebKnight es útil para asegurar lo siguiente.

  • Desbordamiento del búfer
  • Directorio transversal
  • Codificación de caracteres
  • Inyección SQL
  • Bloqueo de robots maliciosos
  • Enlace directo
  • Fuerza bruta
  • Y mucho más..
webknight

En una configuración por defecto, todas las peticiones bloqueadas son registradas, y usted puede personalizarlas en base a sus necesidades. WebKnight 3. 0 tiene una interfaz web de administración donde puede personalizar las reglas y realizar tareas de administración, incluyendo estadísticas.

Demonio de las Sombras

ShadowDaemon detecta, registra y previene ataques web filtrando peticiones de parámetros maliciosos. Viene con una interfaz propia donde puede realizar tareas de administración y gestionar este WAF. Es compatible con el marco de lenguaje PHP, Perl y Python.

Puede detectar los siguientes ataques

  • Inyección SQL
  • Inyección XML
  • Inyección de código
  • Inyección de comandos
  • XSS
  • Acceso por puerta trasera
  • Inclusión de archivos locales/remotos

El código abierto es gratuito, pero no obtiene soporte, lo que significa que debe confiar en su experiencia y en el apoyo de la comunidad. Así que si está buscando un WAF comercial, puede consultar el siguiente.

  • Cloudflare (basado en la nube)
  • Incapsula (basado en la nube)
  • F5 ASM
  • TrustWave ModSecurity reglas comerciales
  • StackPath
  • SUCURI (basado en la nube)

Espero que esto le ayude a hacerse una idea sobre los cortafuegos de aplicaciones web de código abierto para las distintas plataformas.

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder