🧰 Recursos recomendados para pentesters
En esta página voy a ir recopilando herramientas, sitios y referencias que me han servido (o que tengo en el radar) para aprender hacking ético, sobre todo centrado en aplicaciones web. Todo lo que veas aquí se puede usar legalmente y muchos de estos recursos son gratuitos o de código abierto.
📚 Documentación y teoría
- OWASP Top 10 – Las 10 vulnerabilidades web más comunes, explicadas por los que más saben.
- PortSwigger Web Security Academy – Cursos gratuitos, prácticos y con laboratorios.
- HackTricks – Trucos, bypasses, payloads… todo en una sola wiki.
- PayloadAllTheThings – Repositorio brutal para ataques XSS, SQLi, SSRF y más.
🛠️ Herramientas básicas
- Burp Suite (Community Edition) – Proxy para interceptar tráfico web. Descargar
- OWASP ZAP – Alternativa libre a Burp. Descargar
- FFUF / Dirsearch – Fuerza bruta de directorios. FFUF | Dirsearch
- Sqlmap – Automatiza ataques de inyección SQL. sqlmap.org
- Postman – Para probar APIs. También Insomnia.
- Nmap – El clásico escáner de puertos. Nunca falla.
🧪 Laboratorios legales para practicar
- Hack The Box – Máquinas vulnerables reales.
- TryHackMe – Más guiado. Perfecto para empezar.
- Juice Shop – Web vulnerable creada por OWASP.
- DVWA – Damn Vulnerable Web App. Otro clásico.
- bWAPP – Con muchísimos ejercicios para practicar.
📎 Repos útiles en GitHub
- Awesome Web Security – Compilación de recursos de seguridad web.
- SecLists – Wordlists para fuerza bruta, payloads, fuzzing, etc.
💬 ¿Tienes una sugerencia?
¿Conoces una herramienta o recurso que debería estar aquí? Puedes escribirme desde la sección de Contacto y si me mola, lo añado.
Nota: Todos estos recursos están pensados para uso legal y educativo. No ataques sitios sin permiso. Practica siempre en entornos preparados para ello.
Me han hackeado 