En Techbeacon crearon una lista de 57 herramientas de código abierto dedicadas a análisis de aplicaciones web.
Algunos de estos proyectos son muy activos y se actualizan con frecuencia con nuevas capacidades, algunas “gratis” o “ediciones de la comunidad” y otras tienen versiones comerciales más completas.
- Andiparos
https://code.google.com/archive/p/andiparos
- Arachni
http://www.arachni-scanner.com
- BackTrack
http://www.backtrack-linux.org
- BeEF
- Caja
http://developers.google.com/caja
- ClamAV
- DOM Snitch
https://code.google.com/archive/p/domsnitch
- Ettercap
http://ettercap.github.io/ettercap
- GoLismero
- Google hacking database (GHDB)
https://www.exploit-db.com/google-hacking-database
- Google application security tools
https://www.google.com/about/appsecurity/tools
- Grabber
http://rgaucher.info/beta/grabber
- Grendel
https://sourceforge.net/projects/grendel
- Gruyere
http://google-gruyere.appspot.com
- Kali
- Keyczar
https://github.com/google/keyczar
- Kismet
- Malwarebytes
- Metasploit
- ModSecurity
- Nagios
- Native Client (NaCl)
http://developer.chrome.com/native-client
- Nikto2
- Nmap
- NoScript
- OpenSSH
- OpenVAS
- OSSEC
- OWASP
https://www.owasp.org/index.php/Appendix_A:_Testing_Tools
- Packet Storm
http://packetstormsecurity.org/files/tags/scanner
- Paros Proxy
http://www.testingsecurity.com/paros_proxy
- Powerfuzzer
- Ratproxy
https://code.google.com/archive/p/ratproxy
- Secunia PSI
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector
- Security Onion
- Skipfish
https://code.google.com/archive/p/skipfish
- Snort
- SonarQube
https://github.com/SonarSource/sonarqube
- SQLMap
- Tcpdump
- Vega
- W3AF
- Wapiti
- Watcher
http://websecuritytool.codeplex.com
- WATOBO
http://watobo.sourceforge.net/index.html
- WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
- Websecurify
- Wfuzz
http://code.google.com/p/wfuzz
- SensePost
- Wireshark
- Zed Attack Proxy
Also known as Zap. Open source, intercepting proxy which is fork and update of the badly out of date Paros Proxy. Fairly powerful for manual testing, and contains some automated testing features.
¡A disfrutarlas!
SANS también ha publicado el SANS 2016 State of Application Security