网络安全测试工具

Paros

可以捕获和篡改http请求与响应的内容

Trap request可以修改http请求的内容,再发送给服务器

Trap response可以修改http响应的内容,再发送给浏览器

将用户输入的文字进行URL编码或解码

MaxPatrol

Nessus

NetInfo

网络常用命令工具

Firefox扩展

① Firebug

var test_element = document.getElementById("your_id");//在DOM面板宏找出它的id或其他标识属性

function display_attribute() {

alert("new element ! /n ID:"+ test_element.lastChild.id + ""/n HTML: " + test_element.lastChild.innerHTML);}//探索元素属性

test_element.addEventListener("DOMNodeInserted',display_attribute,'false');//添加一个事件监听程序

new_element = document.getElementById('some_other_element')

test_element.appendChild(new_element);//初始化这个事件

② View Source Chart检查源码

关注:

1)hidden隐藏表单域,通常由javascript验证

2)检查META标签,注释和页头信息以查看与应用所使用的框架或平台相关的检索

3)注释信息常会包含堆栈跟踪,sql失踪以及到丝带吗或管理页面的而音乐,设置时开发或测试记录

③ Tamper Data:观察实时的响应头

1)有些响应头会显示服务器软件以及响应发出的日期和时间。可以了解使用的服务器和平台的漏洞信息

2)动态重定向的危险 

3)检测javascript事件,安全测试必须会绕开应用期望在你的浏览器中运行的javascript。e.g.onclick onMouseOver onFocus onBlur onLoad onSubmit document.getElementById

e.g. http://www.example.com/redirect.php?url=http://ha.ckers.org

④ Edit Cookies

⑤ User Agent Switcher

⑥ SwithProxy:允许在使用webscarab这样的代理和使用另一个代理或者完全不使用代理之间切换

⑦ Adblock Plus阻挡广告

⑧ Pornzilla

http://www.squarefree.com/pornzilla/

make numbered list of links 

WebScarab

web代理(Java Web Start)

使用方法:

第一步:配置firefox,工具——选项——高级——网络——设置——手动配置代理 localhost 8008

第二步:查看隐藏表单域Proxy

Perl

安装perl:activeperl

安装math-base36软件包(view-all packages—base36——右键标记——run)

安装LibWWW函数库 

安装 HTTP::Request

linux: perl -MCPAN -E  'install LWP'

CAL9000

CAL9000.html(Javascript编写)

http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

可以编码解码

ViewState Decoder

(ASP.NET编写)给无状态的HTTP请求增加状态

http://www.pluralsight-training.net/community/media/p/51688.aspx

cURL

简明教程http://curl.haxx.se/docs/httpscripting.html

下载地址 http://curl.haxx.se/download.html

curl是一个利用URL语法在命令行方式下工作的文件传输工具

Cygwin

下载地址 http://www.cygwin.com/

软件作用:在windows中使用linux环境

软件配置:首先选择Install from the Internet,其次选择选择用于下载软件包的镜像,接着下载Perl目录,以及web目录中的curlwget程序,openssl程序

Cygwin将自己的安装目录看作是根目录,然后通过cygdrive目录来提供对其他驱动器和目录的访问

wget

从网络上自动下载文件的自由工具,支持通过HTTPHTTPSFTP三个最常见的TCP/IP协议下载,并可以使用HTTP代理。

Nikto 2

软件作用:web漏洞扫描程序(perl脚本)

下载地址:http://www.cirt.net/nikto2

安装方法:解压缩该软件包,并在cygwin或其他类unix环境中运行Nikto

。Nikto依赖LibWhisker模块 http://sourceforge.net/projects/whisker/

Nikto Nessus SSL或NMAP集成 http://cirt.net/nikto2.-docs/index.html

安装perl和nikto的必备条件:

windows:需要ActiveState的SSL库

Unix和Mac:需要OpenSSL,Net::SLeay这个perl模块

Burp Suit

同WebScarab,包含Burp proxy,Burp spider, Burp sequencer,Burp repeater

下载地址: http://portswigger.net/burp/download.html

OpenSSL

为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用OpenSSL

% echo 'Q29uZ3JhdHVsYXRpb25zIQ==' | openssl base64 -d#解码字符串

% openssl base64 -e -in input.txt -out input.b64 #编码文件的全部内容

% echo -n '&a=1&b=2&c=3' | openssl base64 -e #n禁止echo在所提供字符串的末尾添加换行字符

WSFuzzer

下载地址:http://www.owasp.org/index.php/Category:OWASP_WSFuzzer_Project

作用:自动实现web服务通信中参数的模糊化

WSFuzzer输出结果筛选依据:http状态码,然后是造成这种结果的输入类型

WebGoat

是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。

Ajax安全工具

http://www.xfocus.net/tools/200610/1194.html

sprajax扫描AJAX web应用程序安全漏洞的工具

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值