最近对产品做了安全测试,以前没有接触过这方面,做做感觉很有意思。介绍几个工具吧。
1.WebScarab
用它主要使用了URL拦截功能,修改URL参数可以发现网站的[url=]漏洞[/url]。例如,某些网站对用户输入的合法性只在客户端做了检查,使用WebScarab可以很容易的进行SQL注入。下面是工具的介绍:
这主要是一款代理软件,或许没有其它的工具能和OWASP的WebScarab如此丰富的功能相媲美了,如果非要列举一些有用的模块的话,那么他们包括HTTP代理,网络爬行、网络蜘蛛,会话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式的编码/解码,WEB服务描述语言和SOAP解析器等。WebScarab基于GeneralPublicLicense(GNU)版本协议。和Paros一样是用JAVA编写的,因此安装它需要JRE。
WebScarab的HTTP代理提供了预期的功能(包括HTTPS拦截,不过和PAROS一样有认证报警)。WebScarab也提供了一些花哨的功能,比如SSL客户认证支持,十六进制或URL编码参数的解码,内置的会话ID分析和一键式“完成该会话”以增加效率等。就基本功能而言,WebScarab和PAROS差不多,但WebScarab为更懂[url=]技术[/url]的用户提供了更多的功能,并提供了对隐藏的底层更多的访问。但是,由于PAROS更简单,我们仍推荐学者在开始时使用它。
此工具是WebGoat中所使用的工具之一。
下载地址:
本文介绍了作者在进行安全测试时使用的一些工具,如WebScarab用于URL拦截和漏洞发现,IBM AppScan是自动化扫描Web应用安全漏洞的工具,Nessus用于系统和数据库漏洞扫描,Codenomicon测试协议栈健壮性,Nmap则用于端口和协议扫描,CIS-CAT是系统漏洞扫描工具,适合不同操作系统。这些工具在保障网络安全方面发挥着重要作用。
最低0.47元/天 解锁文章
9501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
