{"id":252,"date":"2007-09-09T10:43:16","date_gmt":"2007-09-09T13:43:16","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?p=252"},"modified":"2007-09-09T10:43:16","modified_gmt":"2007-09-09T13:43:16","slug":"pipper-un-automatizador-de-peticiones-para-auditoria-de-aplicativos-web","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/pipper-un-automatizador-de-peticiones-para-auditoria-de-aplicativos-web\/","title":{"rendered":"Pipper, un automatizador de peticiones para auditor\u00c3\u00ada de aplicativos Web"},"content":{"rendered":"<p>Es el caso de Pipper, una herramienta orientada a la auditor\u00c3\u00ada de aplicativos Web y cuya principal misi\u00c3\u00b3n es automatizar peticiones que habitualmente pueden conducir a la explotaci\u00c3\u00b3n de situaciones de vulnerabilidad, como por ejemplo, la inyecci\u00c3\u00b3n SQL. Copio y pego <a href=\"http:\/\/www.s21sec.com\/pipper\/pipper.html\">de la p\u00c3\u00a1gina de referencia del autor<\/a>:<\/p>\n<p align=\"left\">La idea de crear este programa surge como necesidad a la hora de automatizar peticiones en aplicativos Web. El programa en s\u00c3\u00ad resulta lo suficientemente gen\u00c3\u00a9rico como para llevar a cabo multitud de acciones que hasta ahora se realizaban mediante la creaci\u00c3\u00b3n de diversos \u00e2\u20ac\u0153scripts\u00e2\u20ac\u009d o bien, el uso de m\u00c3\u00baltiples herramientas.<\/p>\n<p align=\"left\">Este programa no pretende ser la soluci\u00c3\u00b3n a todos los problemas de auditor\u00c3\u00ada Web, pretende ser m\u00c3\u00a1s bien una ayuda adicional a los auditores de este tipo de aplicativos, ya que se presupone un conocimiento previo de las tareas que se realizan com\u00c3\u00banmente; Pipper \u00c3\u00banicamente muestra informaci\u00c3\u00b3n num\u00c3\u00a9rico-visual (c\u00c3\u00b3digos de error, n\u00c3\u00bamero de l\u00c3\u00adneas y palabras devueltas, textos coloreados, etc.), tal y como se ver\u00c3\u00a1 m\u00c3\u00a1s adelante. Esta informaci\u00c3\u00b3n deber\u00c3\u00a1 de ser interpretada posteriormente por el auditor, el cual tendr\u00c3\u00a1 que ser capaz de diagnosticar \u00e2\u20ac\u0153qu\u00c3\u00a9 est\u00c3\u00a1 ocurriendo\u00e2\u20ac\u009d.<\/p>\n<p align=\"left\">Un buen uso de este programa reducir\u00c3\u00a1 notablemente los tiempos de prueba\/error dedicados a \u00e2\u20ac\u0153bruteforcear\u00e2\u20ac\u009d variables\/cookies\/credenciales, b\u00c3\u00basqueda de ficheros (p\u00c3\u00a1ginas, cgi\u00e2\u20ac\u2122s, etc\u00e2\u20ac\u00a6), localizar fallos de \u00e2\u20ac\u0153Cross-Site Scripting\u00e2\u20ac\u009d, \u00e2\u20ac\u0153SQL Injections\u00e2\u20ac\u009d, etc.<\/p>\n<p>El programa incluye tres ficheros principales para este prop\u00c3\u00b3sito:<\/p>\n<p>* sql_inj.txt, con distintos vectores de ataque usados en inyecciones SQL<br \/>\n* nulls.txt, similar al anterior pero usando variables de tipo \u00e2\u20ac\u0153null\u00e2\u20ac\u009d<br \/>\n* ones.txt, an\u00c3\u00a1logo al anterior, pero usando variables numericas del tipo \u00e2\u20ac\u0153unos\u00e2\u20ac\u009d.<\/p>\n<p>Adicionalmente, se suministra un fichero XML para poder generar nuestros propios payloads. Las instrucciones y otros contenidos de inter\u00c3\u00a9s est\u00c3\u00a1n colgados <a href=\"http:\/\/www.s21sec.com\/pipper\/pipper.html\">en la p\u00c3\u00a1gina de S21Sec<\/a>.<\/p>\n<p>La noticia la he visto en <a href=\"http:\/\/www.dragonjar.us\/pipper-herramienta-para-la-auditorias-de-aplicaciones-web.xhtml\">Dragonweb<\/a>, aunque veo que <a href=\"http:\/\/elladodelmal.blogspot.com\/2007\/09\/pipper-la-navaja-suiza-del-campen.html\">Chema tambi\u00c3\u00a9n ha hablado de la herramienta<\/a>. <a href=\"http:\/\/www.yoire.com\/downloads.php?tag=pipper\">La descarga la ten\u00c3\u00a9is aqu\u00c3\u00ad<\/a>, y es completamente gratu\u00c3\u00adta.<\/p>\n<p>Fuente: <a href=\"http:\/\/www.sahw.com\/wp\/\">http:\/\/www.sahw.com\/wp\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es el caso de Pipper, una herramienta orientada a la auditor\u00c3\u00ada de aplicativos Web y cuya principal misi\u00c3\u00b3n es automatizar peticiones que habitualmente pueden conducir a la explotaci\u00c3\u00b3n de situaciones de vulnerabilidad, como por ejemplo, la inyecci\u00c3\u00b3n SQL. Copio y pego de la p\u00c3\u00a1gina de referencia del autor: La idea de crear este programa surge [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-252","post","type-post","status-publish","format-standard","hentry","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=252"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/252\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}