从这里
http://sectools.org/web-scanners.html 可以找到很多流行的WEB安全工具。
安全测试方面的书籍《web入侵安全测试与对策》、《软件安全测试艺术》也有相当多好工具推介
概览
是一个商业工具,但有一个试用版发行。
在扫描方面可以和APPSCAN 相媲美
但在漏洞修复建议方面,还是和APPSCAN 有差距
工具分为 4大块。简要概述我们最相关的3部分
1)web scanner: 扫描器,默认情况产生10个线程的爬虫
2)工具箱: 集成很多好用的工具,比如 http fuzzer
3)配置: 呵呵,只要懂英文就看得明白
启动扫描
点击new scan
一路默认下去
扫描结果分析
一露脸就是显著的告警
没有密码登录时,扫demo.testfire.net 会发现存在跨站脚本攻击。
我们把眼光聚焦在
点击启动 http editor
可以看到UID已经被更改成功
再找一个GET 请求的
尝试在浏览器输入
http://demo.testfire.net/search.aspx?txtSearch= Acunetix自身有很好的编解码工具,可以看到URL decode的结果 url decode 结果 Httpeditor 编辑HTTP 头以及数据 Httpsniffer 嗅探器。解决网络通信包 http fuzzer 生成一组定制的数据 配置 http tuning的参数极大影响系统性能,要很加注意:) Acunetix工具结果存放地可以更改。默认Access. 很不幸,偶电脑没有装access 数据引擎。下载本文
