Análisis de Código Dinámico o Estático
Análisis de Código Dinámico o Estático
Nota importada desde Inbox durante consolidacion bulk.
Resumen
Referencia curada de herramientas de seguridad orientadas al analisis de codigo fuente y credenciales web. Se divide en tres categorias: analisis estatico/dinamico de codigo, escaneres de inyeccion SQL, y bruteforcers de passwords para servicios web. Todos los enlaces apuntan a repositorios GitHub con herramientas open source.
Contenido Principal
Analisis de Codigo Estatico y Dinamico
| Herramienta | URL | Descripcion |
|---|---|---|
| Cobra | https://github.com/wufeifei/cobra | Sistema de analisis de codigo estatico que automatiza la deteccion de vulnerabilidades y problemas de seguridad |
| phpvulhunter | https://github.com/OneSourceCat/phpvulhunter | Escaneo automatico de vulnerabilidades PHP mediante analisis estatico |
| phptrace | https://github.com/Qihoo360/phptrace | Seguimiento y resolucion de problemas para scripts PHP |
| NodeJsScan | https://github.com/ajinabraham/NodeJsScan | Escaner estatico de seguridad para aplicaciones Node.js |
Escaneres de Inyeccion SQL
| Herramienta | URL | Descripcion |
|---|---|---|
| jSQL Injection | https://github.com/ron190/jsql-injection | Aplicacion ligera para encontrar informacion de bases de datos en servidores remotos |
| sqliv | https://github.com/Hadesy2k/sqliv | Escaner masivo de vulnerabilidades de inyeccion SQL |
| sqlmate | https://github.com/s0md3v/sqlmate | Complemento de SQLmap con funcionalidades adicionales |
| enumdb | https://github.com/m8r0wn/enumdb | Fuerza bruta y post-explotacion de MySQL y MSSQL |
| injectbot | https://github.com/tariqhawis/injectbot | Escaner y explotador de inyeccion SQL basado en web |
Bruteforcers de Credenciales Web
| Herramienta | URL | Descripcion |
|---|---|---|
| htpwdScan | https://github.com/lijiejie/htpwdScan | Escaner de contrasenas debiles HTTP en Python |
| crack_ssh | https://github.com/netxfly/crack_ssh | Bruteforcer para SSH, Redis, MongoDB |
| weak_password_detect | https://github.com/shengqi158/weak_password_detect | Escaner de contrasenas debiles HTTP en Python |
| Blazy | https://github.com/s0md3v/Blazy | Bruteforcer moderno que tambien prueba CSRF, Clickjacking, Cloudflare y WAF |
| myBFF | https://github.com/MooseDojo/myBFF | Framework de fuerza bruta para aplicaciones web (Citrix Gateway, CiscoVPN, etc.) |
| web_pwd_common_crack | https://github.com/TideSec/web_pwd_common_crack | Script de cracking de contrasenas debiles en interfaces de gestion sin captcha |
Puntos Clave
- Las herramientas de analisis estatico (Cobra, NodeJsScan) permiten deteccion temprana de vulnerabilidades en el pipeline de desarrollo
- Los escaneres SQLi complementan a SQLmap ofreciendo enfoques especializados (masivo, MongoDB, web-based)
- Los bruteforcers son utiles en fases de pentesting para validar politicas de contrasenas
- Todas las herramientas son open source y disponibles en GitHub
Aplicacion Practica
- Integrar Cobra o NodeJsScan en pipelines CI/CD para deteccion temprana
- Usar enumdb en post-explotacion para extraccion de datos de bases MySQL/MSSQL
- Combinar htpwdScan con diccionarios custom para auditar interfaces de administracion expuestas
Referencias
- categorias-componentes-vulnerabilidades-escaneo -- Herramientas de escaneo de vulnerabilidades especificas
- deteccion-xss-multiples-tipos -- Herramientas relacionadas de XSS y SQLi