Recopilación de herramientas para hacking web

Iniciado por hakais, 14 Abril 2010, 12:25 PM

0 Miembros y 2 Visitantes están viendo este tema.

hakais

Bufff, hacía mucho, mucho, que no posteaba en este foro :-P

Quería pediros un favor. Estoy haciendo una recopilación de aplicaciones para hacking web (únicamente web). Y me encuentreo que hay muchas, poco conocidas, pero realmente potentes. Me gustaría ver si entre todos podemos reunir una buena lista. Personalmente me interesa y además creo que tambien seria una buena aportación para el foro.
Perdón por anticipado a los moderadores si estoy repitiendo tema...

Aqui esta la lista de las que yo conozco, sería bueno incluir también la url.
Nessus http://www.nessus.org/nessus/
Wikto http://www.sensepost.com/research/wikto/
Nikto http://cirt.net/nikto2
Acunetix
NStealth
Pipper http://www.yoire.com/downloads.php?tag=pipper
Wapiti http://wapiti.sourceforge.net

WebScarab
FireBug (útil también)

Si teneis aplicaciones propias tamibén estaría bién incluirlas :-D

Bueno a ver que sale!

Gracias. Saludos!
El hacker es el filósofo de la actualidad

tragantras

Live HTTP headers
FoxyProxy

PD: porfavor quita ese "posteava" jaja me duele a los ojos :( -> posteaBa jaja un saludo!
Colaboraciones:
1 2

<scrk/>


esta wena la lista..
x5s - automated XSS security testing assistant
xss.codeplex.com

MazarD

web developer y cookie editor tampoco pueden faltar sea lo que sea relacionado con la web
-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
http://twitter.com/MazarD
irc://irc.freenode.org/elhacker.net

Novlucker

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

x7uk

MmM...

Aparte de los ADD-ONs que ya mencionaron...agregamos...
- Tamper Data.
- User Agent Switcher.

Herramientas:
- ARTA.
- Bako's SQL injection scanner.
- RealSQL scanner.
- XSS scanner by xylitol.
- SQLInjc.
- Shadow Security Scanner.
- Sam Spade.
- eNyE Spider.

Son herramientas que las pueden encontrar con Google y algunas de ellas las suelo usar.... igual si no las encuentran me dicen y las subo. Saludos.! x7uk
backtrack/hispanic-community-member/x7uk

hakais

Joder, que buena aportación x7uk, y tu también MazarD. Bueno y todos, gracias :-D
El hacker es el filósofo de la actualidad

MazarD

-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
http://twitter.com/MazarD
irc://irc.freenode.org/elhacker.net

<scrk/>

Bueno aver si aporto algunos...




WebRaider es una herramienta para buscar y explotar vulnerabilidades de forma automatizada en aplicaciones web,  que se centra en la explotación de las aplicaciones web.
La idea es simple, obtener una shell inversa o  de una inyección de SQL y una petición sin necesidad de utilizar un canal extra como TFTP, FTP para subir la carga inicial.

Las características de esta herramienta son las siguientes:

    * Realiza solo una solicitud, por lo tanto es mas rápido
    * No es necesario ninguna herramienta, se puede simplemente utilizar el
       navegador o un sencillo proxy MITM
    * Solo tienes que copiar y pegar el payload
    * Es posible diseñar un ataque CSRF para que nos devuelva una shell inversa
    * El payload no ocupa mas de 3500 caracteres
    * No son necesarias aplicaciones del sistema como FTP, TFTP o Debug.exe
    * Fácil de automatizar


Esta herramienta solo está diseñada para la plataforma winxxx , solo falta coger el codigo fuente para hacerle correr en plataformas UNIX , en poco tiempo..

Download:
http://code.google.com/p/webraider/downloads/list
fuente

Web App Testing Tools

Aqui hay otras herramientas de interés, sobre aunditoría web.

    * Burp Suite
    * Fiddler2
    * Watcher
    * Ratproxy
    * Grendel Scan
    * W3AF
    * Skipfish
    * Exploit-me
    * Wikto
    * Tamper data
    * Wmap
    * Nikto
    * Samurai WTF
Estas herramientas son muy buenas
esta recopilacion fue dada gracias a mis amigos de SANS,

Gracias a la Universidad de Cádiz

Estas herramientas están enfocadas al uso de Firefox en los test de intrusión y el nuevo OWASP .
Todas ellas (menos SWF Catcher) bajo el nuestro recopilatorio en la web de Mozilla.

   1. LiveHTTPHeaders
   2. SQL-Me
   3. XSS-Me
   4. iMacros
   5. Add'n'Edit Cookies
   6. Unlinker
   7. RefControl
   8. User-Agent Switcher
   9. HackBar
  10. Exif Viewer
  11. CookieSwap
  12. Cookie Security Inspector
  13. Foxy Proxy
  14. Tamper Data
  15. SWF Catcher
  16. Cert Viewer Plus
  17. Fireshot
  18. CaptureFox

sqlninja 0.2.1-r1 – SQL Injection Tool for MS-SQL Released for Download

y que por su puesto este herramienta que me agrada sqlninja Herramienta de Inyección de SQL para MS-SQL  , que está publicado y de descarga.Sqlninja es una herramienta dirigida a explotar las vulnerabilidades de inyección SQL en una aplicación web que utiliza Microsoft SQL Server como back-end. Its main goal is to provide a remote shell on the vulnerable DB server, even in a very hostile environment. Su objetivo principal es proporcionar un shell remoto en el servidor de BD vulnerables, incluso en un ambiente muy hostil. It should be used by penetration testers to help and automate the process of taking over a DB Server when a SQL Injection vulnerability has been discovered. Debe ser utilizado por los probadores para ayudar a la penetración y automatizar el proceso de hacerse cargo de un servidor de DB cuando una vulnerabilidad de inyección SQL ha sido descubierto.
Está escrito en perl y hasta ahora ha sido probado con éxito en:

    * Linux
    * FreeBSD
    * Mac OS X

Pagina principal : http://sqlninja.sourceforge.net/
Descarga : http://sourceforge.net/projects/sqlninja/files/

temas de referencia : securitybydefault.com & darknet.org.uk

EvilGoblin

Suena mal el titulo Herramientas para Hacking Web xDD

por cierto, conocen codigos de blindsql que se puedan compilar en Linux?
Experimental Serial Lain [Linux User]