精品文档---下载后可任意编辑从这里 可以找到很多流行的 WEB 安全工具
安全测试方面的书籍《web 入侵安全测试与对策》、《软件安全测试艺术》也有相当多好工具推介概览是一个商业工具,但有一个试用版发行
在扫描方面可以和 APPSCAN 相媲美 但在漏洞修复建议方面,还是和 APPSCAN 有差距 工具分为 4 大块
简要概述我们最相关的 3 部分1)web scanner: 扫描器,默认情况产生 10 个线程的爬虫2)工具箱: 集成很多好用的工具,比如 http fuzzer3)配置: 呵呵,只要懂英文就看得明白 启动扫描点击 new scan一路默认下去 精品文档---下载后可任意编辑扫描结果分析一露脸就是显著的告警没有密码登录时,扫 demo
testfire
net 会发现存在跨站脚本攻击
我们把眼光聚焦在精品文档---下载后可任意编辑点击启动 http editor可以看到 UID 已经被更改成功再找一个 GET 请求的尝试在浏览器输入/search
txtSearch=alert(1433860212)%3B精品文档---下载后可任意编辑Acunetix 自身有很好的编解码工具,可以看到 URL decode 的结果url decode 结果alert(1433860212);Httpeditor编辑 HTTP 头以及数据Httpsniffer嗅探器
解决网络通信包精品文档---下载后可任意编辑http fuzzer生成一组定制的数据配置http tuning 的参数极大影响系统性能,要很加注意:) 精品文档---下载后可任意编辑Acunetix 工具结果存放地可以更改
默认 Access
很不幸,偶电脑没有装 access 数据引擎
