Ultimate Pentest Web — Swiss Army Knife Herramienta Python de auditoría web todo‑en‑uno con GUI (tkinter).
Elaborado por: RogerF5 — 2025
AuditorTotal‑Web es una herramienta de auditoría web diseñada para pentesters y equipos de seguridad ofensiva. Proporciona reconocimiento (OSINT), análisis de configuración, pruebas activas controladas y generación de reportes en español. Está empaquetada como un único fichero Python con interfaz gráfica (tkinter) para máxima portabilidad.
- Reconocimiento & OSINT: descubrimiento de subdominios, consultas WHOIS, enumeración de rutas/archivos comunes, fingerprinting tecnológico.
- Análisis de defensas: comprobación de cabeceras HTTP (CSP, HSTS, X-Frame-Options...), análisis de cookies (Secure/HttpOnly/SameSite), detección básica de WAF/CDN.
- SSL/TLS & puertos: comprobación de certificados y escaneo no intrusivo de puertos comunes.
- Pruebas activas controladas: XSS (reflejado/almacenado), SQLi (error/boolean/time), autenticación débil (con límites para evitar bloqueos).
- Reporting: reportes HTML en español con scoring y recomendaciones accionables.
- Arquitectura: single‑file, threading para mantener la GUI responsiva, diseño modular por métodos.
- Python 3.7+ (recomendado 3.8/3.9/3.10)
- Paquetes pip (ver
requirements.txt):requests,beautifulsoup4,dnspython,python-whois,urllib3,tldextract,python-dateutil - tkinter (solo si usas la GUI): paquete del sistema en Linux/WSL o incluido en el instalador oficial de Python en Windows.
- Conexión a Internet para WHOIS y comprobaciones externas.
-
Clona o coloca
AuditorTotal-Web-RF5.pyyrequirements.txten una carpeta. -
One‑liners según tu shell:
-
PowerShell (Windows)
python -m venv venv; .\venv\Scripts\Activate.ps1; python -m pip install --upgrade pip setuptools wheel; pip install -r requirements.txt
-
CMD (Windows)
python -m venv venv && venv\Scripts\activate && python -m pip install --upgrade pip setuptools wheel && pip install -r requirements.txt
-
Linux / macOS (bash)
python3 -m venv venv && source venv/bin/activate && python -m pip install --upgrade pip setuptools wheel && pip install -r requirements.txt
- Activa el entorno y ejecuta:
# PowerShell
.\venv\Scripts\Activate.ps1
# CMD
venv\Scripts\activate
# Linux/macOS
source venv/bin/activate
python AuditorTotal-Web.pyrequests>=2.28
beautifulsoup4>=4.12
dnspython>=2.3
python-whois>=0.7
urllib3>=1.26
tldextract>=3.4
python-dateutil>=2.8
Nota: tkinter no se instala por pip; instálalo vía paquete del sistema si hace falta (python3-tk en Debian/Ubuntu, por ejemplo).
- Ejecuta
python AuditorTotal-Web-RF5.py. - Introduce la URL objetivo o carga
targets.txt(una URL por línea). - Ajusta opciones (threads, timeouts, módulos).
- Pulsa Iniciar Auditoría, revisa el log y genera el reporte HTML.
python AuditorTotal-Web.py --targets targets.txt --output report.html --no-gui(Verifica las opciones en el archivo; si no existen, se puede añadir argparse.)
https://example.com
http://test.local
https://app.corp
-
ModuleNotFoundError: No module named 'dns'→pip install dnspython -
No module named 'tkinter'→ instala paquete del sistema:- Debian/Ubuntu:
sudo apt install python3-tk - Fedora:
sudo dnf install python3-tkinter - Windows: reinstala Python desde python.org y marca Tcl/Tk en el instalador.
- Debian/Ubuntu:
-
PowerShell bloquea scripts: usa CMD o ajusta
ExecutionPolicycon responsabilidad.
- El script puede desactivar verificación SSL para pruebas; revisa y ajusta según tu scope.
- Las pruebas activas están limitadas para minimizar impacto, pero pueden activar IDS/WAF.
- Respeta el scope y asegura autorización explícita y por escrito antes de ejecutar pruebas.
USO AUTORIZADO ÚNICAMENTE. Esta herramienta es para pruebas de seguridad autorizadas y fines educativos. No la uses contra sistemas sin permiso explícito. El autor no asume responsabilidad por el uso indebido. Cumple con la legislación y políticas aplicables.
- Abre issues para bugs o falsos positivos/negativos.
- Pull requests: nuevos módulos, mejoras de detección, optimización de reporting.
- Mantén las contribuciones seguras y no destructivas.
- CSRF token detection
- API endpoint discovery & testing
- File upload sandboxed tests
- SSRF / command injection detection
- Export PDF/JSON / integración con DB de vulnerabilidades
RogerF5 — 2025
Usa con responsabilidad. Con poder viene responsabilidad — y logs. 🛡️