El trabajo de desarrollar una solución web (un portal, una simple web, incluso una aplicación) pasa inexcusablemente por instalarla en el servidor del cliente. Muchos desarrolladores y diseñadores se quedan en este punto, dando el trabajo por terminado, cuando hay que dar un paso más y es asegurar que ese servidor, con nuestra solución instalada, sea lo más seguro posible.
Las razones para hacerlo son variadas, pero en general, ante un problema de seguridad que afecte específicamente a nuestro desarrollo nos va a hacer responsable del mismo y en función de la escala del problema (especialmente cuando hay bases de datos con información crítica de los usuarios) nos podemos ver metidos en "un bonito lío" por llamarlo de alguna manera. Incluso, cuando nuestro desarrollo "no tenga la culpa" se nos llamará para hacernos responsables.
Así que antes de dar por terminado el desarrollo, hay que planificar un estado más: el momento "nos vamos de casa" para asegurarnos que todo queda convenientemente cerrado. Y una buena forma de hacer una revisión de seguridad previa (si tienes al menos unos conocimientos básicos del tema) es usar Yang para Mac, un GUI para Nikto.Nikto es un scanner que busca vulnerabilidades en servidores web, en la misma línea que Nessus. Nikto está escrito en Perl y generalmente requiere una instalación en un ordenador, pero Yang nos permite oviar este proceso ofreciéndonos un interfaz bastante completo que nos permite parametrizar además el estado de la prueba que vayamos a realizar.
El funcionamiento de Yang, el GUI de Nikto, es muy sencillo: si no tienes conocimientos específicos de servidores solo tienes que introducir el dominio que quieres explorar y a continuación darle a scan. Yang comenzará a traajar (se toma cierto tiempo en realizar todas las pruebas, pero no demasiado) y te ofrecerá información sobre los datos que ha recopilado el servidor. Ahora es el momento de que interpretes los datos (o que se los envíes a una persona con conocimientos específicos) para que le eche un vistazo y poder identificar problemas de seguridad.