Demostración en vídeo de éste post.
En el mundo del pentesting web y hacking web nos encontramos con cientos de herramientas, algunas de ellas repletas de funcionalidades interesantes y otras más orientadas a un tipo de ataque o técnica concreta. En éste post mencionaré 5 herramientas que suelo usar cuando un cliente me pide hacer una auditoría web y en el siguiente 5 más. Es posible que ya las conozcas, o no, en todo caso son las siguientes:
De esta herramienta ya he hablado en varios varios artículos y de hecho, he publicado algunos cursos orientados a su uso. Es uno de los proyectos insignia de la comunidad OWASP y cuenta con muchas funcionalidades y detalles que le convierten en una herramienta completa y flexible. Puede que al principio te parezca un poco complicada debido precisamente a la cantidad de opciones que incorpora, pero una vez te acostumbras se convierte en una pieza clave en tu «arsenal».
Sitio web: https://www.zaproxy.org/
Del mismo modo que ZAP, Burp es otra herramienta esencial en cualquier pentest web. Si bien desde el punto de vista funcional es muy parecida a ZAP, la cantidad de extensiones disponibles en su marketplace es una de sus características más llamativas. Es cierto que las extensiones más potentes y que se utilizan para pentesting web profesional sólo están disponibles con la versión de Burp Professional, pero en mi opinión, si te dedicas de manera regular a este tipo de actividades, merece mucho la pena contar con una licencia profesional para sacarle el máximo provecho a la herramienta.
Sitio web: https://portswigger.net/burp
Contar con un cliente HTTP potente es tan importante como las herramientas de pentesting descritas anteriormente y en este sentido, Postman es una de mis favoritas. En sus primeras versiones se instalaba como una extensión del navegador web, pero desde hace unos años se encuentra disponible como una aplicación «stand-alone» que puedes ejecutar en sistemas Linux, Windows y Mac. Desde una interfaz gráfica, permite crear colecciones de peticiones HTTP, establecer opciones globales para todas las peticiones, importar y exportar las colecciones, la integración con servidores proxy HTTP/S y SOCKS, definir scripts sencillos para automatizar tareas, entre muchas otras rutinas interesantes. En mi opinión, esta herramienta es especialmente útil a la hora de probar APIs Rest, las cuales en ocasiones cuentan como parámetros y cabeceras HTTP que tienen siempre los mismos valores (como por ejemplo tokens de autenticación).
Sitio web: https://www.postman.com/downloads/
Aunque en los últimos años la aparición de las vulnerabilidades de SQL Injection es menos frecuente, no deja de ser una de las pruebas que se deben realizar en una auditoría web. En este sentido, SQLMap es posiblemente la mejor herramienta para la detección y explotación automatizada de este tipo de defectos. No obstante, es una herramienta que puede generar mucho ruido si no «afinas» su ejecución. El peligro que tienen las herramientas automáticas como ésta, es que si no tienes cuidado puedes corromper los datos o la estructura de una aplicación web defectuosa, especialmente si las páginas que auditas contienen formularios que realizan operaciones de inserción, manipulación o borrado de datos. Si conoces bien la herramienta y la ejecutas con precaución, limitando el número de pruebas, puede ser una herramienta muy útil que te permitirá ahorrar tiempo.
Sitio web: https://sqlmap.org/
Ambas son herramientas sencillas y permiten realizan comprobaciones sobre un servidor web que soporta HTTPS. Concretamente, verifican versiones de los algoritmos de cifrado soportados en el servidor, fallos criptográficos, detectan la implementación de SSL/TLS utilizada y analizan el comportamiento del servidor mediante el envío de múltiples pruebas que luego se comparan con una base de datos de firmas conocidas, de esta forma es posible detectar si existe alguna vulnerabilidad en el servidor relacionada con la implementación SSL/TLS utilizada.
Sitio web tls_prober: https://github.com/WestpointLtd/tls_prober
Sitio web testssl: https://github.com/drwetter/testssl.sh
Este listado comprende algunas de las herramientas más comunes en el mundo del pentesting web, no obstante en el siguiente post te enseñaré cinco más que a lo mejor, no conoces y decides probar por tu cuenta.
Deja un comentario si quieres incluir alguna otra herramienta que no se encuentra en esta lista y que en tu opinión, es esencial para hacer pentesting web forma más efectiva.
Un saludo y Happy Hack!
Adastra.