Daniel Cabezas personal blog

En mi nuevo trabajo, y durante los últimos meses, he venido realizando baterías de pruebas de intrusión de un nuevo tipo, para mí: auditorias de aplicación web.

Una de los problemas ante los que se enfrenta cualquier profesional que quiere realizar una evaluación de la seguridad es el conjunto de herramientas que existen para realizar pruebas específicas. ¿Se os ha ocurrido alguna vez pensar en como repetir 10000 veces una misma operación de loguearse y cerrar la sesión en una aplicación pero con un parámetro cambiado para hacer fuzzing? O ¿Como tener 4 proxys diferentes y cambiar entre ellos rápidamente, según el análisis, captura o modificación de los datos que queremos realizar? Vía un consejo de un colega de E&Y (muchas gracias, César), acabé echando un vistazo a la página de extensiones de Firefox. Y, para mi sopresa, existen un montón de herramientas de ayuda al programador que permiten realizar un montón de comprobaciones de debugging de código, pero que también sirven para un pen-testing. Al final, resulta que Firefox se puede "tunear" y convertirlo en un framework muy, muy completo para realizar pruebas de intrusión. Por si a alguien le pueden servir de ayuda, he hecho una lista de las extensiones más interesantes, y también de unas cuantas utilidades más que, aunque no sean extensiones para Firefox, pueden ayudar mucho a la hora de realizar pentest de aplicaciones web.

[read more]