Buenas,
Soy un poco nuevo por aquí, he estado buscando por el foro y no he encontrado nada
parecido (quizás no busqué bien )
Bueno os cuento,  tengo una aplicación web en la que te logeas con usuario y contraseña.
Quiero auditar la aplicacion por si un usuario logeado, es decir, dentro de la aplicacion puede atacarla.
Por ejemplo, facebook, para entrar necesitas user y pass. Yo quiero auditar una vez dentro de "facebook" si esta web es <<vulnerable>>

Para ello estoy usando w3af pero no consigo nada claro.
Usé acunetix y funciona, es decir, es más facil de configurar para poner un user y un pass valido y empezar a auditar desde dentro.
PD no quiero usar acunetix porque es de pago.

Alguna idea, alguna otra aplicacion para auditar.

Gracias

nunca he utilizado ese programa pero revisa si tiene la opcion de enviar datos por post, la otra es generar una cookie( iniciando sesion en la web y cogiendo la cookie, tener en cuenta tanto User-Agent como referer ) y configurar para que utilize esa cookie.

for dummies : http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3af-users-guide.pdf   

pues te logueas en la pag con firefox por ejemplo, mediante tamper data copias la cookie, instalas proxomitron y pones esa cookie para que se envie, si tu programa permite la declaracion de proxy declaras 127.0.0.1:8080 y listo auditaras desde dentro