Recopilación de herramientas para hacking web

hakais · 14 Abril 2010, 12:25 PM

Bufff, hacía mucho, mucho, que no posteaba en este foro :-P

Quería pediros un favor. Estoy haciendo una recopilación de aplicaciones para hacking web (únicamente web). Y me encuentreo que hay muchas, poco conocidas, pero realmente potentes. Me gustaría ver si entre todos podemos reunir una buena lista. Personalmente me interesa y además creo que tambien seria una buena aportación para el foro.
Perdón por anticipado a los moderadores si estoy repitiendo tema...

Aqui esta la lista de las que yo conozco, sería bueno incluir también la url.

Código [Seleccionar]

Nessus http://www.nessus.org/nessus/
Wikto http://www.sensepost.com/research/wikto/
Nikto http://cirt.net/nikto2
Acunetix
NStealth
Pipper http://www.yoire.com/downloads.php?tag=pipper
Wapiti http://wapiti.sourceforge.net

WebScarab
FireBug (útil también)

Si teneis aplicaciones propias tamibén estaría bién incluirlas :-D

Bueno a ver que sale!

Gracias. Saludos!

tragantras · 14 Abril 2010, 18:53 PM

Live HTTP headers
FoxyProxy

PD: porfavor quita ese "posteava" jaja me duele a los ojos

-> posteaBa jaja un saludo!

<scrk/> · 14 Abril 2010, 19:00 PM

esta wena la lista..
x5s - automated XSS security testing assistant
xss.codeplex.com

MazarD · 14 Abril 2010, 19:08 PM

web developer y cookie editor tampoco pueden faltar sea lo que sea relacionado con la web

Novlucker · 14 Abril 2010, 19:26 PM

Firebug
Aquí varias, y justo es de hoy

:http://www.securitybydefault.com/2010/04/herramientas-de-auditoria-web.html

Saludos

x7uk · 15 Abril 2010, 09:10 AM

MmM...

Aparte de los ADD-ONs que ya mencionaron...agregamos...
- Tamper Data.
- User Agent Switcher.

Herramientas:
- ARTA.
- Bako's SQL injection scanner.
- RealSQL scanner.
- XSS scanner by xylitol.
- SQLInjc.
- Shadow Security Scanner.
- Sam Spade.
- eNyE Spider.

Son herramientas que las pueden encontrar con Google y algunas de ellas las suelo usar.... igual si no las encuentran me dicen y las subo. Saludos.! x7uk

hakais · 15 Abril 2010, 12:55 PM

Joder, que buena aportación x7uk, y tu también MazarD. Bueno y todos, gracias :-D

MazarD · 15 Abril 2010, 13:52 PM

Cita de: Novlucker en 14 Abril 2010, 19:26 PM
Firebug
Aquí varias, y justo es de hoy
:http://www.securitybydefault.com/2010/04/herramientas-de-auditoria-web.html

Saludos

Que casualidad... xD

Bueno añadir tambien modify headers :d

<scrk/> · 15 Abril 2010, 16:56 PM

Bueno aver si aporto algunos...

WebRaider es una herramienta para buscar y explotar vulnerabilidades de forma automatizada en aplicaciones web, que se centra en la explotación de las aplicaciones web.
La idea es simple, obtener una shell inversa o de una inyección de SQL y una petición sin necesidad de utilizar un canal extra como TFTP, FTP para subir la carga inicial.

Las características de esta herramienta son las siguientes:

Código [Seleccionar]

    * Realiza solo una solicitud, por lo tanto es mas rápido
    * No es necesario ninguna herramienta, se puede simplemente utilizar el 
       navegador o un sencillo proxy MITM
    * Solo tienes que copiar y pegar el payload
    * Es posible diseñar un ataque CSRF para que nos devuelva una shell inversa
    * El payload no ocupa mas de 3500 caracteres
    * No son necesarias aplicaciones del sistema como FTP, TFTP o Debug.exe
    * Fácil de automatizar

Esta herramienta solo está diseñada para la plataforma winxxx , solo falta coger el codigo fuente para hacerle correr en plataformas UNIX , en poco tiempo..

Download:
http://code.google.com/p/webraider/downloads/list
fuente

Web App Testing Tools

Aqui hay otras herramientas de interés, sobre aunditoría web.

* Burp Suite
* Fiddler2
* Watcher
* Ratproxy
* Grendel Scan
* W3AF
* Skipfish
* Exploit-me
* Wikto
* Tamper data
* Wmap
* Nikto
* Samurai WTF
Estas herramientas son muy buenas
esta recopilacion fue dada gracias a mis amigos de SANS,

Gracias a la Universidad de Cádiz

Estas herramientas están enfocadas al uso de Firefox en los test de intrusión y el nuevo OWASP .
Todas ellas (menos SWF Catcher) bajo el nuestro recopilatorio en la web de Mozilla.

1. LiveHTTPHeaders
2. SQL-Me
3. XSS-Me
4. iMacros
5. Add'n'Edit Cookies
6. Unlinker
7. RefControl
8. User-Agent Switcher
9. HackBar
10. Exif Viewer
11. CookieSwap
12. Cookie Security Inspector
13. Foxy Proxy
14. Tamper Data
15. SWF Catcher
16. Cert Viewer Plus
17. Fireshot
18. CaptureFox

sqlninja 0.2.1-r1 – SQL Injection Tool for MS-SQL Released for Download

y que por su puesto este herramienta que me agrada sqlninja Herramienta de Inyección de SQL para MS-SQL , que está publicado y de descarga.Sqlninja es una herramienta dirigida a explotar las vulnerabilidades de inyección SQL en una aplicación web que utiliza Microsoft SQL Server como back-end. Its main goal is to provide a remote shell on the vulnerable DB server, even in a very hostile environment. Su objetivo principal es proporcionar un shell remoto en el servidor de BD vulnerables, incluso en un ambiente muy hostil. It should be used by penetration testers to help and automate the process of taking over a DB Server when a SQL Injection vulnerability has been discovered. Debe ser utilizado por los probadores para ayudar a la penetración y automatizar el proceso de hacerse cargo de un servidor de DB cuando una vulnerabilidad de inyección SQL ha sido descubierto.
Está escrito en perl y hasta ahora ha sido probado con éxito en:

* Linux
* FreeBSD
* Mac OS X

Pagina principal : http://sqlninja.sourceforge.net/
Descarga : http://sourceforge.net/projects/sqlninja/files/

temas de referencia : securitybydefault.com & darknet.org.uk

EvilGoblin · 17 Abril 2010, 23:02 PM

Suena mal el titulo Herramientas para Hacking Web xDD

por cierto, conocen codigos de blindsql que se puedan compilar en Linux?