El camino más corto para proteger sus aplicaciones web.
Barracuda Vulnerability Manager solo escanea aplicaciones web, por lo que solo apuntará al servidor web al
que apunta. No escanea su red o infraestructura. Por ejemplo, Vulnerability Manager no buscará ni escaneará
firewalls de capa 3, dispositivos VPN, servidores o dispositivos de correo electrónico, servidores FTP,
sistemas telefónicos ni ningún otro dispositivo de red.
Barracuda Vulnerability Manager detecta muchas vulnerabilidades comunes de aplicaciones web,
incluidas la inyección SQL, secuencias de comandos entre sitios (XSS), falsificación de solicitudes
entre sitios (CSRF) y otras. Para obtener una lista más detallada, consulte la "Referencia de tipos
de vulnerabilidad de Barracuda Vulnerability Manager".
Los escaneos de Barracuda Vulnerability Manager se realizan desde el centro de datos de Barracuda en
Southfield, Michigan. El rango de IP es 64.235.153.0/24
Para escanear la aplicación web, Barracuda Vulnerability Manager enviará solicitudes especialmente
diseñadas a su servidor web y analizará las respuestas. Los servidores vulnerables responderán de
manera que el escáner pueda detectarlos y se lo informaremos. Las solicitudes que envía Barracuda
Vulnerability Manager están especialmente diseñadas para no causar ningún daño a sus servidores;
solo detectarán vulnerabilidades, no las explotarán de ninguna manera.
Durante el análisis, Barracuda Vulnerability Manager recopila diversa información sobre su aplicación;
Esta información se utiliza para aumentar la precisión y encontrar vulnerabilidades en la aplicación.
Esta información puede incluir datos sobre las tecnologías y componentes utilizados por su
aplicación, la estructura de su aplicación, así como listas de páginas, formularios, campos y
cookies.
Barracuda Vulnerability Manager no recopila ninguna información de identificación personal (PII) ni
registros de la base de datos de su aplicación, ya sea que esta información sea de acceso público o
no. Si Barracuda Vulnerability Manager encuentra una vulnerabilidad que podría comprometer la
confidencialidad de los datos en su aplicación web, no recopila ninguno de los datos que podrían
verse comprometidos; en cambio, solo le alerta sobre el problema.
Barracuda Vulnerability Manager tampoco recopila el código fuente (ya sea del lado del cliente o del
servidor) de su aplicación.
La duración del escaneo varía ampliamente según el tamaño de su aplicación, desde unos pocos minutos
hasta varios días. Puede monitorear el progreso del escaneo desde la pantalla Escaneos activos de
Barracuda Vulnerability Manager. Si lo desea, también puede limitar la duración del escaneo; en este
caso, sólo verá las vulnerabilidades que se encontraron dentro de este período de tiempo. Siempre
puede cancelar un análisis que se esté ejecutando actualmente; nuevamente, solo verá las
vulnerabilidades encontradas hasta que se canceló.
El escaneo está especialmente diseñado para no causar daños a su aplicación web, servidor web, base
de datos o infraestructura de red. Durante el proceso de escaneo, el escáner envía todos los
formularios web encontrados en su aplicación una gran cantidad de veces para probar vulnerabilidades.
Si tiene formularios desprotegidos que escriben datos en una base de datos o envían correos
electrónicos basados en envíos de formularios, es posible que vea una gran cantidad de registros de
bases de datos o correos electrónicos enviados durante el análisis. Puede ignorar o eliminar estos
registros y/o correos electrónicos de forma segura; no causan ningún daño.
Barracuda Vulnerability Manager tiene una función de protección automática contra sobrecargas: si
detecta una carga alta en su servidor web, reducirá automáticamente la velocidad de escaneo hasta
que ya no se detecte una carga alta. Independientemente de la protección contra sobrecargas,
Barracuda Vulnerability Manager envía un máximo de 15 solicitudes por segundo a su servidor. Si lo
desea, puede ajustar este número en la pestaña Rastreo del cuadro de diálogo de configuración de
escaneo. Por ejemplo, es posible que desee aumentar este número si está escaneando un servidor que
no es de producción y desea que el escaneo se complete más rápido.
Barracuda Vulnerability Manager puede escanear cualquier aplicación web a la que se pueda acceder
públicamente, independientemente de dónde esté alojada. Si cualquier usuario de Internet puede
ingresar la URL de su aplicación y acceder a ella, podrá escanearla.
Sí. Barracuda Vulnerability Manager puede escanear independientemente de cualquier balanceador
de carga o firewall frente a la aplicación, siempre que la aplicación sea de acceso público.
No. Barracuda Vulnerability Manager determinará si su aplicación podría ser pirateada por un atacante
malintencionado, pero no la pirateará. En particular, Barracuda Vulnerability Manager no hará que su
aplicación ejecute ningún código dañino, no robe datos de su aplicación ni la bloquee.
No. Si bien Barracuda Vulnerability Manager puede almacenar datos de solicitudes y respuestas para
ayudarlo a localizar vulnerabilidades, los datos de su aplicación no se almacenarán en los servidores
de Barracuda ni serán accesibles para los empleados de Barracuda.
Los informes de escaneo se almacenan en servidores especialmente designados en el centro de datos
dedicado de Barracuda. Solo usted puede acceder a sus informes utilizando sus credenciales de
Barracuda Cloud Control. Si tiene requisitos reglamentarios que exigen que sus datos se mantengan
en servidores físicamente separados o en las instalaciones, comuníquese con nosotros para analizar
las opciones locales.
No. Por razones de seguridad y para evitar abusos, los usuarios deben verificar cada dominio que
deseen escanear, ya sea a través del proceso de verificación de dominio de Cloud Control o a través
del propio Barracuda Vulnerability Manager. Se pedirá a los usuarios que realicen este proceso de
verificación, que es fácil y solo requiere hacer clic en un enlace en un correo electrónico.
Debe tomar medidas inmediatas para corregir las vulnerabilidades encontradas por Barracuda
Vulnerability Manager, especialmente aquellas con niveles de gravedad Alto o Crítico.
La forma más sencilla de corregir las vulnerabilidades de las aplicaciones web es utilizar un firewall de aplicaciones
web (WAF) Barracuda. El WAF de Barracuda puede importar los resultados de un escaneo de Barracuda
Vulnerability Manager y remediar automáticamente todas las vulnerabilidades encontradas por el
escaneo. Para obtener más información, consulte el resumen de la solución, "Vulnerabilidades de
las aplicaciones web: de la detección a la corrección".
Los desarrolladores de su aplicación web también pueden utilizar la información proporcionada en el informe de Barracuda
Vulnerability Manager para encontrar y solucionar el problema manualmente en el código fuente de la
aplicación.