¡Hola todos! 🙂 Si eres un desarrollador o un investigador de seguridad, conoces el sentimiento.Estás horas en un problema, has pasado por todas tus listas de verificación, y has golpeado una pared. “Entonces, ¿y ahora qué?” Durante los últimos meses, he estado construyendo un proyecto llamado para ser la respuesta a esa pregunta exacta.Pero antes de mostrarle lo que es, tengo que decirle lo que es . RAWPA (Rodney the Advanced Web Pentesting Assistant) No es Debo afirmar esto con la máxima importancia: RAWPA no es un "regimen de obtener errores rápidos". Recomiendo fuertemente el proceso manual de rastrear los archivos JS, buscar errores de lógica empresarial, encontrar puntos finales expuestos y ser creativo en Burp Suite. RAWPA no es un script de automatización para reemplazar esas habilidades. Debo afirmar esto con la máxima importancia: RAWPA no es un "regimen de obtener errores rápidos". Recomiendo fuertemente el proceso manual de rastrear los archivos JS, buscar errores de lógica empresarial, encontrar puntos finales expuestos y ser creativo en Burp Suite. RAWPA no es un script de automatización para reemplazar esas habilidades. The Shiny AI Feature (And Why I Benched It) Por supuesto, quería construir un asistente inteligente e inteligente. En primer lugar, construí un modelo RAG (Retrieval-Augmented Generation) para actuar como un "Copilot" para cada paso de prueba. Los resultados iniciales fueron asombrosos! Las respuestas se hicieron ruidosas, el código comenzó a romperse, y me di cuenta de que estaba gastando todo mi tiempo debugando la IA en lugar de construir el núcleo de la aplicación. Así que hice una llamada dura: puse toda la característica en suspensión. y Construí un panel de administrador para el proyecto (una gran victoria en sí mismo!) y agregé un simple cambio para apagar la IA. Se sentía como banquetear a mi jugador estrella, pero fue el movimiento estratégico correcto. y So, What Am I Doing Now? The Grind. En este momento, estoy en la fase de investigación de profundización.Esta es la parte menos glamurosa del desarrollo que no siempre lo convierte en publicaciones de blogs.Estoy pasando mis días (y noches) rastreando la web, viendo conversaciones técnicas y cavando a través de los artículos de investigación para encontrar, probar y validar cada metodología que entra en RAWPA. Este proceso fue validado cuando encontré el sitio de lostsec, que tiene un propósito similar. En lugar de sentirme desalentado, me dio la voluntad de continuar, demostrando que hay una necesidad real de herramientas que aumenten, en lugar de automatizar, nuestro pensamiento. Una conexión de LinkedIn me dio una fantástica lista de ideas de características futuras, como la gamificación, las integraciones de herramientas y los modos de colaboración, que realmente han dado forma a la visión a largo plazo. y What's Next & How You Can Help Mi objetivo es hacer de RAWPA un recurso confiable e informado por la comunidad. Puedes seguir los detalles nitty-gritty del viaje de desarrollo en mi blog personal aquí: https://kuwguap.github.io/posts/series-2-implementing-wpa-in-rawpa-part-1/ Este es un esfuerzo impulsado por la comunidad.Si tienes metodologías, ideas o sugerencias, me encantaría escucharlas.La mejor manera de llegar es en LinkedIn Al final del día, creo que RAWPA ayudará a alguien a desconectarse y aprender algo nuevo. https://kuwguap.github.io/posts/series-2-implementing-wpa-in-rawpa-part-1/ LinkedIn ¡Gracias por leer!
