Ferramentas

Ferramentas de segurança e recursos para desenvolvedores

Ferramentas que construo e uso — de firewalls a bibliotecas de criptografia. E recursos curados para ajudar desenvolvedores a pensar em segurança.

Construído por 0xrafasec

rfirewall

Firewall user-centric para Linux

Um firewall lean e moderno construído em Rust. Projetado para segurança de alto nível com excelente experiência do usuário — overhead mínimo, interface intuitiva e integração suave com seu ambiente Linux. Em desenvolvimento ativo.

RustEm desenvolvimento

ecies-bls12381

Criptografia ECIES com BLS12381

Pacote Go para geração de chaves, criptografia e descriptografia usando ECIES com a curva elíptica BLS12381. Usa Kyber para operações seguras. Adequado para proxy re-encryption e compartilhamento seguro de dados.

GoDisponível

Mais ferramentas em breve.

Recon & Descoberta

Ferramenta	Descrição	Link
Subfinder	Enumeração passiva de subdomínios. 100+ fontes, muito rápido. Passo essencial em qualquer cadeia de recon.
httpx	Kit de probing HTTP. Título, status, detecção de tech, follow redirects. Filtra hosts vivos rapidamente.
Katana	Web crawler de nova geração. Parsing de JS, modo headless, controle de escopo. Encontra endpoints que outros perdem.
Nmap	Clássico de descoberta de rede. Port scanning, detecção de serviços, OS fingerprinting. 25+ anos, ainda o padrão.
Naabu	Scanner de portas rápido em Go. Scans SYN/CONNECT, descoberta de serviços. Feito para pipelines de automação.
Amass	Mapeamento de superfície de ataque. Enumeração DNS, descoberta ASN, integração de fontes. Projeto OWASP.

Varredura de Vulnerabilidades

Ferramenta	Descrição	Link
Nuclei	Scanner de vulns baseado em templates. 9000+ templates da comunidade. CVEs, misconfigs, exposições. O GOAT para automação.
Trivy	Scanner de segurança all-in-one. Containers, IaC, SBOM, secrets, licenças. Nativo para CI/CD. Aqua Security.
Semgrep	Encontre bugs e vulns no código. 2000+ regras. Rápido. Funciona com qualquer linguagem. Grátis para open source.
Nikto	Scanner de servidor web. Verifica arquivos perigosos, software desatualizado, misconfigs. Clássico e eficaz.

Testes de Aplicação Web

Ferramenta	Descrição	Link
Burp Suite	Proxy web padrão da indústria. Interceptar, escanear, explorar. Ecossistema massivo de extensões. PortSwigger.
Caido	Alternativa moderna ao Burp. Em Rust, leve, UI limpa. 10 projetos grátis. Em alta em 2025-2026.
Ffuf	Descoberta de diretórios, fuzzing de parâmetros, vhost discovery. Escrito em Go. Extremamente rápido.
SQLMap	SQL injection automatizado. Detecção e exploração. Capacidades de takeover de banco. A ferramenta de SQLi.
Dalfox	Scanner de XSS e análise de parâmetros. Bypass de WAF, detecção de DOM XSS. Moderno e mantido ativamente.
Arjun	Descoberta de parâmetros HTTP. Encontra parâmetros GET/POST ocultos. Essencial para preparar fuzzing.

Secrets e Credenciais

Ferramenta	Descrição	Link
Gitleaks	Encontre API keys, senhas, tokens antes de vazarem. Escaneia commits, branches, diffs. Fácil integração em CI.
TruffleHog	Scanner de credenciais. Histórico git, S3, filesystems. Detecção por entropia alta e regex.
Hashcat	Ferramenta de recuperação de senhas. Cracking acelerado por GPU. Regras, máscaras, wordlists. Padrão da indústria.
John the Ripper	Quebrador de senhas. Múltiplos formatos, ataques por wordlist, modo incremental. O clássico.

Active Directory e Interno

Ferramenta	Descrição	Link
BloodHound	Mapeamento de caminhos de ataque AD. Descoberta de privesc baseada em grafo. CE v8 adiciona OpenGraph para cloud.
Impacket	Protocolos de rede em Python. SMB, MSRPC, ataques Kerberos. GetNPUsers, secretsdump, psexec.
NetExec	Sucessor do CrackMapExec. SMB, WinRM, LDAP, MSSQL, SSH. Spray de credenciais, enumeração.
Certipy	Ataques a Certificate Services AD. Exploração ESC1-ESC8. Encontrar e abusar de misconfigs de PKI.
Rubeus	Kit de abuso Kerberos. Kerberoasting, AS-REP roasting, manipulação de tickets. C# para Windows.
Responder	Envenenador LLMNR/NBT-NS/MDNS. Captura de credenciais em redes internas. Essencial para internals.

Segurança em Nuvem

Ferramenta	Descrição	Link
Prowler	Avaliações de segurança AWS/Azure/GCP. Benchmarks CIS, checagens de compliance. 300+ controles.
ScoutSuite	Auditoria de segurança multi-cloud. AWS, Azure, GCP, Alibaba, Oracle. Relatórios de avaliação de risco.
Pacu	Framework de exploração AWS. Pós-comprometimento, privesc, persistência. Como Metasploit para AWS.
CloudBrute	Enumeração de infraestrutura em nuvem. Encontrar ativos da empresa em AWS, Azure, GCP, DigitalOcean.

Exploração e C2

Ferramenta	Descrição	Link
Metasploit	Framework de testes de penetração. Base de exploits, payloads, módulos pós-exploração. O clássico.
Sliver	Framework C2 moderno. Alternativa open source ao Cobalt Strike. mTLS, WireGuard, HTTP(S), DNS C2.
Havoc	C2 pós-exploração moderno. Agente Demon, suporte a BOFs, abuso de API cloud. Em alta em 2025-2026.
Mythic	Plataforma C2 flexível. Web UI, multi-agente (Python/Go/.NET/Swift). Modular e extensível.

Análise de Rede

Ferramenta	Descrição	Link
Wireshark	Analisador de protocolos de rede. Captura e inspeção profunda de pacotes. Essencial para análise de tráfego.
mitm6	Ferramenta de ataque IPv6. Takeover DNS via DHCPv6. Combina com ntlmrelayx para ataques de relay.
Bettercap	Ataque e monitoramento de rede. MITM, WiFi, BLE, HID. Canivete suíço para hacking de rede.

Segurança de Smart Contracts

Ferramenta	Descrição	Link
Slither	Analisador estático de Solidity. 90+ detectores, grafo de herança, grafo de chamadas. Trail of Bits.
Mythril	Analisador de bytecode EVM. Execução simbólica, taint analysis. Encontrar exploits em smart contracts.
Foundry	Kit de desenvolvimento de smart contracts. Forge (testes), Cast (interações), Anvil (nó local). Em Rust, rápido.
Echidna	Fuzzer de smart contracts Ethereum. Testes baseados em propriedades. Encontrar edge cases automaticamente.
Aderyn	Analisador de Solidity em Rust. Análise estática rápida, detectores customizados. Cyfrin.

Utilitários e Automação

Ferramenta	Descrição	Link
Anew	Anexar linhas ao arquivo se únicas. Essencial para dedup de saída de recon. Tomnomnom.
qsreplace	Substituir valores de query string. Útil para testes em massa de parâmetros. Tomnomnom.
gau	Buscar URLs conhecidas do AlienVault OTX, Wayback, Common Crawl. Ouro para descoberta de URLs.
waybackurls	Buscar URLs do Wayback Machine. Descoberta histórica de endpoints. Tomnomnom.
unfurl	Parsear e extrair componentes de URL. Domínios, paths, params, valores. Tomnomnom.

Recursos para desenvolvedores

Referências essenciais para desenvolvimento com consciência de segurança.