Skip to content

Pipper, un automatizador de peticiones para auditoría de aplicativos Web

Publicado por Sergio Hernando el 9 septiembre 2007

Muy buenas ;)

Aquí estamos de regreso a la actividad después de unas largas vacaciones, las cuales he disfrutado bastante, todo sea dicho. Os pido disculpas por adelantado a los que esperáis respuesta a las peticiones de contacto, las cuales serán atendidas tan pronto me sea posible.

pipper

Y qué mejor para regresar que enlazar herramientas y materiales útiles. Es el caso de Pipper, una herramienta orientada a la auditoría de aplicativos Web y cuya principal misión es automatizar peticiones que habitualmente pueden conducir a la explotación de situaciones de vulnerabilidad, como por ejemplo, la inyección SQL. Copio y pego de la página de referencia del autor:

La idea de crear este programa surge como necesidad a la hora de automatizar peticiones en aplicativos Web. El programa en sí resulta lo suficientemente genérico como para llevar a cabo multitud de acciones que hasta ahora se realizaban mediante la creación de diversos "scripts" o bien, el uso de múltiples herramientas.

Este programa no pretende ser la solución a todos los problemas de auditoría Web, pretende ser más bien una ayuda adicional a los auditores de este tipo de aplicativos, ya que se presupone un conocimiento previo de las tareas que se realizan comúnmente; Pipper únicamente muestra información numérico-visual (códigos de error, número de líneas y palabras devueltas, textos coloreados, etc.), tal y como se verá más adelante. Esta información deberá de ser interpretada posteriormente por el auditor, el cual tendrá que ser capaz de diagnosticar "qué está ocurriendo".

Un buen uso de este programa reducirá notablemente los tiempos de prueba/error dedicados a "bruteforcear" variables/cookies/credenciales, búsqueda de ficheros (páginas, cgi's, etc...), localizar fallos de "Cross-Site Scripting", "SQL Injections", etc.

El programa incluye tres ficheros principales para este propósito:

* sql_inj.txt, con distintos vectores de ataque usados en inyecciones SQL
* nulls.txt, similar al anterior pero usando variables de tipo "null"
* ones.txt, análogo al anterior, pero usando variables numericas del tipo "unos".

Adicionalmente, se suministra un fichero XML para poder generar nuestros propios payloads. Las instrucciones y otros contenidos de interés están colgados en la página de S21Sec.

La noticia la he visto en Dragonweb, aunque veo que Chema también ha hablado de la herramienta. La descarga la tenéis aquí, y es completamente gratuíta.

Un saludo para todos :)

Be Sociable, Share!

Categoría/s → Auditoria

2 comentarios
  1. 14 septiembre 2007

    Vaya, re-bienvenido. Se te echaba de menos. ;)

  2. 15 septiembre 2007

    corsaria,

    A sus pies, gracias por la re-bienvenida :)

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS