CAIDO es una herramienta de auditoría de seguridad web diseñada para simplificar y agilizar el proceso de pentesting. Desarrollada en Rust y su objetivo está en cumplir las necesidades de todos aquellos interesados en evaluar la seguridad de aplicaciones web.
De entre sus principales características, ofrece un análisis mejorado de tráfico HTTP/HTTPS, soporte avanzado para API RESful y GraphQL, una automatización integrada e interfaz avanzada.
Interfaz sencilla e intuitiva
La interfaz de usuario de Caido está diseñada para la sencillez y eficiencia. Además de ofrecer una amplia gama de exploración que hacen que la identificación de vulnerabilidades y el análisis de peticiones sean mucho más eficientes y en tiempo real. Algunas de sus herramientas incluyen un mapa del sitio, historial y funciones de intercepción, lo que permite a los pentesters profundizar en los hallazgos para poder dar sus recomendaciones referentes a la seguridad de las aplicaciones web que estén auditando.
Automatización
La característica "Automate" es un recurso importante para aquellos que buscan
encontrar vulnerabilidades de manera más eficiente debido a que cuenta con la
capacidad de personalizar y probar peticiones utilizando un amplio listado de
instrucciones, lo que acelera este proceso.
Modificación de peticiones:
Caido permite la modificación de peticiones entrante, es decir, sus
herramientas "Forward" y "Tamper" permiten personalizar las pruebas y
comprender mejor la seguridad del sistema objetivo.
Gestión de Proyectos
Se puede organizar fácilmente el flujo de trabajo de pruebas de seguridad, lo
que facilita la gestión de varios proyectos sin necesidad de reiniciar la
aplicación. El número de gestión de proyectos va dependiendo de la versión
gratuita y la de paga.
Arquitectura Cliente/Servidor:
Posee la polivalencia de poder ejecutarse en cualquier dispositivo o servidor privado virtual (VPS), lo que le permite al pentester adaptar su enfoque de pruebas de seguridad según sus necesidades.
- Filtrado avanzado con HTTPQL: Caido ofrece un sistema de búsqueda y filtrado basado en HTTPQL, un lenguaje sencillo, aunque poderoso que no requiere de conocimientos avanzados de programación.
- Proxy invisible: Permite interceptar tráfico incluso desde clientes que no soportan configuraciones manuales de proxy, caso que la competencia no ofrece.
- Sobreescritura DNS: da mayor control sobre cómo se resuelven los dominios durante las pruebas de pentesting.
- Integración ampliada con navegadores: facilita la manipulación y análisis de tráfico directamente desde el navegador.
Aunque Burp Suite y ZAP Proxy siguen siendo el estándar de la industria para las evaluaciones de seguridad en aplicaciones, aquí hay razones por las que CAIDO podría ser una alternativa dependiendo de las necesidades de cada pentester.
Fuente: WeLiveSecurity