Hola estoy testeando (de forma legal por supuesto en mi servidor web) para buscar bugs o fallos
y no tengo casi ni idea al respecto. algunas herramientas o consejos para poder profundizar en el tema.
Aparte uso siempre las herramientas que trae el navegador para examinar las peticiones http.. algunos consejos o herramientas utiles para esto?
Lado del cliente: recomiendo Firebug, Live HTTP Headers y Hackbar (plugins de firefox)
Tenemos suites como BurpSuite, que es un all-in-one fuzzer de aplicaciones web. (No conozco ninguno más, no es aconsejable usar herramientas pre-fabricadas, y si necesito solo uso debuggers y fuzzers)
Y del lado del servidor, puedes usar nmap.
Creo que en las aplicaciones web, lo que necesitas es navegar por el sitio web intentando introducir querys de forma contra-intuitiva, buscar un panel de control, buscar full-disclosure que te ayudará a conocer más sobre los servicios que están ejecutandose en el servidor, intentar saber que módulos (de nginx o de Apache, o que servicios de IIIS está ejecutando)
Te recomiendo mucho dejar la auditoría web, yo preferí aprender a programar antes de aprender a vulnerar y es más enriquecedor, más productivo, después viene la auditoría, cuando ya entiendes el código.