Última actualización: 1 de enero de 2023
Aquí les presentaré una lista de software y herramientas que utilizan los pentesters. Herramientas para detectar vulnerabilidades del servidor, analizar un sitio web y corregir las vulnerabilidades encontradas.
Si eres un apasionado de la seguridad informática, esta lista seguro te agradará. Lo mejor es tener instalada la distribución Kali Linux en una máquina virtual.
Sin más preámbulos, aquí hay algunas herramientas que necesita para escanear y detectar vulnerabilidades en una aplicación web :
1. El topo
El Mole es una herramienta automática para explotar Inyecciones SQL. Es proporcionando un enlace vulnerable o una dirección válida del sitio objetivo que podemos probar la inyección y por qué no explotarla. Ya sea usando un técnica de tipo unióno una técnica basada en consultas booleanas.
Esta herramienta trabaja en bases de datos como MySQL, SQL Server, PostgreSQL y Oracle.
2. WPScan
WPScan es un escáner de vulnerabilidades especialmente diseñado para WordPress. Escrito en rubí. Es capaz de encontrar las vulnerabilidades presentes en un sitio web de WordPress, enumerar los complementos utilizados y darle las lagunas de seguridad asociadas. Para obtener más información, lea nuestro artículo sobre WPScan
3. Escáner de seguridad Joomscan
Joomscan Security Scanner es una herramienta de auditoría de sitios web para joomla, está escrito en perl y es capaz de detectar más de 550 vulnerabilidades, como inclusiones de archivos, Inyecciones SQL, los RFI, defectos de LFI, ataques XSS, inyección ciega de SQL, protección de directorios y otros. Para saber más, te invito a leer el artículo sobre Joomscan
4. Uniscano
Uniscan es un escáner de vulnerabilidades de código abierto para aplicaciones web. Escrito en perl, fue para sus pruebas, diseñado para detectar fallas Inyecciones RFI, LFI, RCE, XSS y SQL.
Esto identificará las páginas del sitio a través de un rastreador y verificará las extensiones de archivos ignoradas y los métodos GET y POST de las páginas. Admite solicitudes SSL, así comouso de proxy.
Si desea usarlo en Kali Linux, vaya a la pestaña:
Aplicaciones ->BackTrack ->Evaluación de vulnerabilidades ->Evaluación de aplicaciones web -> Escáneres de vulnerabilidades web – >Uniscan
5. W3af (marco de auditoría y ataque de aplicaciones web)
w3af (Web Application Attack & Audit Framework) es un proyecto que tiene como objetivo crear un marco para encontrar y explotar vulnerabilidades en una aplicación web. Puedes usarlo en BackTrack 5.
Aplicaciones ->BackTrack ->Evaluación de vulnerabilidades ->Evaluación de aplicaciones web -> Escáneres de vulnerabilidades web – >W3af gui
6.havij
Havij es una herramienta de inyección SQL automatizada que permite a los probadores de penetración encontrar y explotar vulnerabilidades de inyección SQL en un sitio web.
El poder de Havij Lo que la diferencia de otras herramientas similares son sus métodos de inyección. La tasa de éxito de una inyección SQL es superior al 95%. Para obtener más información, siga nuestro artículo sobre el uso de havij.
