可以捕获和篡改http请求与响应的内容 Trap request可以修改http请求的内容,再发送给服务器 Trap response可以修改http响应的内容,再发送给浏览器 | |
将用户输入的文字进行URL编码或解码 | |
| |
| |
NetInfo | 网络常用命令工具 |
Firefox扩展 | ① Firebug var test_element = document.getElementById("your_id");//在DOM面板宏找出它的id或其他标识属性 function display_attribute() { alert("new element ! /n ID:"+ test_element.lastChild.id + ""/n HTML: " + test_element.lastChild.innerHTML);}//探索元素属性 test_element.addEventListener("DOMNodeInserted',display_attribute,'false');//添加一个事件监听程序 new_element = document.getElementById('some_other_element') test_element.appendChild(new_element);//初始化这个事件 ② View Source Chart检查源码 关注: 1)hidden隐藏表单域,通常由javascript验证 2)检查META标签,注释和页头信息以查看与应用所使用的框架或平台相关的检索 3)注释信息常会包含堆栈跟踪,sql失踪以及到丝带吗或管理页面的而音乐,设置时开发或测试记录 ③ Tamper Data:观察实时的响应头 1)有些响应头会显示服务器软件以及响应发出的日期和时间。可以了解使用的服务器和平台的漏洞信息 2)动态重定向的危险 3)检测javascript事件,安全测试必须会绕开应用期望在你的浏览器中运行的javascript。e.g.onclick onMouseOver onFocus onBlur onLoad onSubmit document.getElementById e.g. http://www.example.com/redirect.php?url=http://ha.ckers.org ④ Edit Cookies ⑤ User Agent Switcher ⑥ SwithProxy:允许在使用webscarab这样的代理和使用另一个代理或者完全不使用代理之间切换 ⑦ Adblock Plus阻挡广告 ⑧ Pornzilla http://www.squarefree.com/pornzilla/ make numbered list of links |
WebScarab | web代理(Java Web Start) 使用方法: 第一步:配置firefox,工具——选项——高级——网络——设置——手动配置代理 localhost 8008 第二步:查看隐藏表单域Proxy
|
Perl | 安装perl:activeperl 安装math-base36软件包(view-all packages—base36——右键标记——run) 安装LibWWW函数库 安装 HTTP::Request linux: perl -MCPAN -E 'install LWP' |
CAL9000 | CAL9000.html(Javascript编写) http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project 可以编码解码 |
ViewState Decoder | (ASP.NET编写)给无状态的HTTP请求增加状态 http://www.pluralsight-training.net/community/media/p/51688.aspx
|
cURL | 简明教程http://curl.haxx.se/docs/httpscripting.html 下载地址 http://curl.haxx.se/download.html curl是一个利用URL语法在命令行方式下工作的文件传输工具 |
Cygwin | 软件作用:在windows中使用linux环境 软件配置:首先选择Install from the Internet,其次选择选择用于下载软件包的镜像,接着下载Perl目录,以及web目录中的curl和wget程序,openssl程序 Cygwin将自己的安装目录看作是根目录,然后通过cygdrive目录来提供对其他驱动器和目录的访问 |
wget | 从网络上自动下载文件的自由工具,支持通过HTTP、HTTPS、FTP三个最常见的TCP/IP协议下载,并可以使用HTTP代理。 |
Nikto 2 | 软件作用:web漏洞扫描程序(perl脚本) 下载地址:http://www.cirt.net/nikto2 安装方法:解压缩该软件包,并在cygwin或其他类unix环境中运行Nikto 。Nikto依赖LibWhisker模块 http://sourceforge.net/projects/whisker/ Nikto Nessus SSL或NMAP集成 http://cirt.net/nikto2.-docs/index.html 安装perl和nikto的必备条件: windows:需要ActiveState的SSL库 Unix和Mac:需要OpenSSL,Net::SLeay这个perl模块 |
Burp Suit | 同WebScarab,包含Burp proxy,Burp spider, Burp sequencer,Burp repeater 下载地址: http://portswigger.net/burp/download.html
|
OpenSSL | 为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL % echo 'Q29uZ3JhdHVsYXRpb25zIQ==' | openssl base64 -d#解码字符串 % openssl base64 -e -in input.txt -out input.b64 #编码文件的全部内容 % echo -n '&a=1&b=2&c=3' | openssl base64 -e #n禁止echo在所提供字符串的末尾添加换行字符
|
WSFuzzer | 下载地址:http://www.owasp.org/index.php/Category:OWASP_WSFuzzer_Project 作用:自动实现web服务通信中参数的模糊化
WSFuzzer输出结果筛选依据:http状态码,然后是造成这种结果的输入类型 |
WebGoat | 是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。 |
Ajax安全工具 | http://www.xfocus.net/tools/200610/1194.html sprajax扫描AJAX web应用程序安全漏洞的工具 |
网络安全测试工具
最新推荐文章于 2024-10-30 20:02:03 发布