[ Web Scanners ]
Ahora una muy buena colección de Scanners online para nuestras pruebas de pentesting. Si nos hizo falta alguna, por favor comentarla para agregarla.
1.- Arachni
Arachni es un sistema totalmente automatizado que trata de hacer cumplir el principio de fuego y olvido. Tan pronto como se inicia un escaneo, no le molestará por nada ni requerirá una mayor interacción del usuario.
Link[ Arachni ]
2.- Burp Suite
Burp Suite es una plataforma integrada para realizar pruebas de seguridad de aplicaciones web.
CAL9000 es una colección de herramientas de prueba de seguridad de aplicaciones web que complementan el conjunto de funciones de servidores proxy y escáneres automáticos actuales. CAL9000 le brinda la flexibilidad y la funcionalidad que necesita para realizar esfuerzos de prueba manual más efectivos.
Link[ CAL9000 ]
4.- CAT
CAT está diseñado para facilitar las pruebas manuales de penetración de aplicaciones web para tareas de pruebas de aplicaciones más complejas y exigentes.Link[ CAT ]
5.- CookieDigger
CookieDigger ayuda a identificar la generación débil de cookies y las implementaciones inseguras de la gestión de sesiones por parte de las aplicaciones web. La herramienta funciona mediante la recopilación y el análisis de cookies emitidas por una aplicación web para múltiples usuarios.
Link[ CookieDigger ]
6.- DIRB
DIRB es un escáner de contenido web. Busca objetos web existentes (y / u ocultos). Básicamente funciona lanzando un ataque basado en diccionario contra un servidor web y analizando la respuesta.
Link[ DIRB ]
7.- Fiddler
Fiddler es un proxy de depuración web que registra todo el tráfico HTTP (S) entre su computadora e Internet. Fiddler le permite inspeccionar todo el tráfico HTTP (S), establecer puntos de interrupción y 'violín' con datos entrantes o salientes.
Link[ Fiddler ]
8.-Gamja
Fiddler es un proxy de depuración web que registra todo el tráfico HTTP (S) entre su computadora e Internet. Fiddler le permite inspeccionar todo el tráfico HTTP (S), establecer puntos de interrupción y 'violín' con datos entrantes o salientes.
Link[ Gamja ]
9.-Grendel-Scan
Una herramienta para el escaneo automatizado de seguridad de aplicaciones web. Muchas características también están presentes para las pruebas de penetración manual.
Link[ Grendel-Scan ]
10.-HTTrack
HTTrack es una utilidad de navegador fuera de línea gratuita y fácil de usar. Le permite descargar un sitio de la World Wide Web de Internet a un directorio local, creando recursivamente todos los directorios, obteniendo HTML, imágenes y otros archivos del servidor a su computadora.
Link[ HTTrack ]
11.- LiLith
LiLith es una herramienta escrita en Perl para auditar aplicaciones web. Esta herramienta analiza páginas web y busca etiquetas html <form>, que a menudo se refieren a páginas dinámicas que pueden estar sujetas a inyección SQL u otros defectos.
Link[ LiLith ]
12.- Nikto2
Nikto es un escáner de servidor web de código abierto (GPL) que realiza pruebas exhaustivas contra servidores web para múltiples elementos, incluidos más de 6500 archivos / CGI potencialmente peligrosos.
Link[ Nikto2 ]
13.-OWASP ZAP
El OWASP Zed Attack Proxy (ZAP) es una de las herramientas de seguridad gratuitas más populares del mundo y es mantenido activamente por cientos de voluntarios internacionales. Puede ayudarlo a encontrar automáticamente vulnerabilidades de seguridad en sus aplicaciones web mientras desarrolla y prueba sus aplicaciones. También es una gran herramienta para que los pentesters con experiencia la utilicen para pruebas de seguridad manuales.
Link[ OWASP ZAP ]
14.- Paros
Un programa llamado 'Paros' para personas que necesitan evaluar la seguridad de sus aplicaciones web. Es gratuito y está completamente escrito en Java.Link[ Paros ]
15.-PowerFuzzer
Powerfuzzer es un fuzzer web altamente automatizado y totalmente personalizable (fuzzer de aplicación basado en el protocolo HTTP) basado en muchos otros fuzzers de código abierto disponibles e información recopilada de numerosos recursos de seguridad y sitios web.
Link[ Powerfuzzer ]
16.-ProxyScan.pl
ProxyScan.pl es una herramienta de prueba de penetración de seguridad para buscar hosts y puertos a través de un servidor proxy web. Las características incluyen varios métodos HTTP como GET, CONNECT, HEAD, así como rangos de host y puerto.Link[ ProxyScan.pl ]
17.-RatProxy
Una herramienta de auditoría de seguridad de aplicaciones web semiautomatizada, en gran medida pasiva, optimizada para una detección precisa y sensible, y anotación automática, de problemas potenciales y patrones de diseño relevantes para la seguridad basados en la observación del tráfico existente iniciado por el usuario en entornos web 2.0 complejos. .Link[ Ratproxy ]
18.- ScanEx
Esta es una utilidad simple que se ejecuta contra el sitio de destino y busca referencias externas e inyecciones maliciosas de dominios cruzados. Hay varios sitios vulnerables que se manipulan con este tipo de inyecciones y se ven comprometidos.Link[ ScanEx ]
19.- Acunetix
Su sitio web puede ser el punto de entrada a sus activos comerciales más valiosos. Acunetix garantiza que los activos de su empresa se mantengan seguros con una auditoria integral del sitio web.
- Pruebas automáticas de XSS, SQLi y más de 4500 vulnerabilidades explotables
- Reduce los falsos positivos con el escaneo de recuadro gris que analiza el código durante la ejecución
- Pruebas para más de 1200 WordPress, Drupal y Joomla! vulnerabilidades específicas
- Escanea HTML5, JavaScript, aplicaciones de una sola página y servicios web RESTful
- Gestión de vulnerabilidades e informes de cumplimiento
Link[ Acunetix ]
20.- Netsparker
Una plataforma única para todas sus necesidades de seguridad web.Netsparker es una solución de seguridad de aplicaciones web escalable y multiusuario con flujo de trabajo incorporado y herramientas de informes ideales para equipos de seguridad. Está disponible como una solución alojada y autohospedada y puede integrarse completamente en cualquier entorno de desarrollo o prueba.
Link[ Netsparker ]
21.- W3af
w3af es un marco de ataque y auditoría de aplicaciones web. El objetivo del proyecto es crear un marco para ayudarlo a proteger sus aplicaciones web al encontrar y explotar todas las vulnerabilidades de las aplicaciones web.Nuestro marco se desarrolla con orgullo utilizando Python para que sea fácil de usar y extender, y tiene licencia bajo GPLv2.0.
Link[ W3af ]
22.- Vega
Vega es un escáner de seguridad web gratuito y de código abierto y una plataforma de prueba de seguridad web para probar la seguridad de las aplicaciones web. Vega puede ayudarlo a encontrar y validar la inyección SQL, la secuencia de comandos entre sitios (XSS), la información confidencial revelada inadvertidamente y otras vulnerabilidades. Está escrito en Java, basado en GUI, y se ejecuta en Linux, OS X y Windows
Link[ Vega ]
23.- AppScan
Link[ AppScan ]
24.- Grabber
Grabber es un escáner de aplicaciones web. Básicamente, detecta algún tipo de vulnerabilidad en su sitio web. Grabber es simple, no rápido pero portátil y realmente adaptable. Este software está diseñado para escanear sitios web pequeños, como personales, foros, etc., no es una aplicación absolutamente grande: tomaría demasiado tiempo e inundaría su red. Link[ Grabber ]
25.- Wapiti
Wapiti le permite auditar la seguridad de sus sitios web o aplicaciones web. Realiza escaneos de "recuadro negro" (no estudia el código fuente) de la aplicación web rastreando las páginas web de la aplicación web desplegada, buscando secuencias de comandos y formularios donde pueda inyectar datos. Una vez que obtiene la lista de URL, formularios y sus entradas, Wapiti actúa como un fuzzer, inyectando cargas útiles para ver si un script es vulnerable.
Link[ Wapiti ]
26.- WebScarab
WebScarab es un marco para analizar aplicaciones que se comunican usando los protocolos HTTP y HTTPS. Está escrito en Java y, por lo tanto, es portátil para muchas plataformas. WebScarab tiene varios modos de operación, implementados por varios complementos. En su uso más común, WebScarab funciona como un proxy de intercepción, lo que permite al operador revisar y modificar las solicitudes creadas por el navegador antes de enviarlas al servidor, y revisar y modificar las respuestas devueltas por el servidor antes de que el navegador las reciba. . WebScarab puede interceptar comunicaciones HTTP y HTTPS. El operador también puede revisar las conversaciones (solicitudes y respuestas) que pasaron por WebScarab.
Link[ WebScarab ]
27.- Skipfish
Skipfish es una herramienta activa de reconocimiento de seguridad de aplicaciones web. Esoprepara un mapa del sitio interactivo para el sitio objetivo llevando a cabo un rastreo recursivo y sondas basadas en diccionario. El mapa resultante es entonces anotado con la salida de una serie de activos (pero con suerte no disruptivos) controles de seguridad. El informe final generado por la herramienta es destinado a servir como base para la seguridad profesional de aplicaciones web Evaluaciones.
Link[ Skipfish ]
28.- Nikto
Nikto es un escáner de servidor web de código abierto (GPL) que realiza pruebas exhaustivas contra servidores web para múltiples elementos, incluidos más de 6400 archivos / CGI potencialmente peligrosos, verifica versiones obsoletas de más de 1200 servidores y problemas específicos de versión en más de 270 servidores. También verifica los elementos de configuración del servidor, como la presencia de múltiples archivos de índice, las opciones del servidor HTTP, e intentará identificar los servidores web y el software instalados. Los elementos de escaneo y los complementos se actualizan con frecuencia y se pueden actualizar automáticamente. Para descargas y más información,
Link[ Nikto ]
29.- Wfuzz
Wfuzz se ha creado para facilitar la tarea en las evaluaciones de aplicaciones web y se basa en un concepto simple: reemplaza cualquier referencia a la palabra clave FUZZ por el valor de una carga útil determinada.
Link[ Wfuzz ]
.png)
.png)
No hay comentarios.:
Publicar un comentario