Es el caso de Pipper, una herramienta orientada a la auditorÃa de aplicativos Web y cuya principal misión es automatizar peticiones que habitualmente pueden conducir a la explotación de situaciones de vulnerabilidad, como por ejemplo, la inyección SQL. Copio y pego de la página de referencia del autor:
La idea de crear este programa surge como necesidad a la hora de automatizar peticiones en aplicativos Web. El programa en sà resulta lo suficientemente genérico como para llevar a cabo multitud de acciones que hasta ahora se realizaban mediante la creación de diversos “scripts†o bien, el uso de múltiples herramientas.
Este programa no pretende ser la solución a todos los problemas de auditorÃa Web, pretende ser más bien una ayuda adicional a los auditores de este tipo de aplicativos, ya que se presupone un conocimiento previo de las tareas que se realizan comúnmente; Pipper únicamente muestra información numérico-visual (códigos de error, número de lÃneas y palabras devueltas, textos coloreados, etc.), tal y como se verá más adelante. Esta información deberá de ser interpretada posteriormente por el auditor, el cual tendrá que ser capaz de diagnosticar “qué está ocurriendoâ€.
Un buen uso de este programa reducirá notablemente los tiempos de prueba/error dedicados a “bruteforcear†variables/cookies/credenciales, búsqueda de ficheros (páginas, cgi’s, etc…), localizar fallos de “Cross-Site Scriptingâ€, “SQL Injectionsâ€, etc.
El programa incluye tres ficheros principales para este propósito:
* sql_inj.txt, con distintos vectores de ataque usados en inyecciones SQL
* nulls.txt, similar al anterior pero usando variables de tipo “nullâ€
* ones.txt, análogo al anterior, pero usando variables numericas del tipo “unosâ€.
Adicionalmente, se suministra un fichero XML para poder generar nuestros propios payloads. Las instrucciones y otros contenidos de interés están colgados en la página de S21Sec.
La noticia la he visto en Dragonweb, aunque veo que Chema también ha hablado de la herramienta. La descarga la tenéis aquÃ, y es completamente gratuÃta.
Fuente: http://www.sahw.com/wp/
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: