Pero un auditor no puede estar comprobando toda la aplicación web de un cliente línea por línea en su código fuente, por ello existen herramientas citadas anteriormente. Nessus y OWASP-ZAP. Además, para poder ver qué peticiones enviamos y recibimos de una aplicación web, se recomienda la instalación del plugin para Firefox llamado Http Headers.

Gracias a estas herramientas podemos descubrir apartados de páginas web que sean vulnerables a ataques que se van a explicar a continuación. Es simplemente entender el funcionamiento de cada una.

En este punto se mostrará el funcionamiento de las aplicaciones Commix y SQLmap. Cada herramienta explicada cumple una función que se va a explicar a continuación en cada tipo de vulnerabilidad. Por ejemplo, Commix se usará para ejecución remota de códigos mediante las URL, mientras que SQL map la usaremos cuando haya constancia de que una aplicación web corre usando un motor de bases de datos SQL.