- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
安全测试 - 自动化工具
有多种工具可用于执行应用程序的安全测试。很少有工具可以执行端到端安全测试,而有些工具则专门用于发现系统中特定类型的缺陷。
开源工具
一些开源安全测试工具如下:
编号 | 工具名称 |
---|---|
1 | Zed 攻击代理 提供自动扫描仪和其他工具来发现安全漏洞。 |
2 | OWASP 网络圣甲虫 用 Java 开发,用于分析 Http 和 Https 请求。 |
3 | OWASP 咒语 支持多语言安全测试框架 https://www.owasp.org/index.php/OWASP_Mantra__-_Security_Framework |
4 | 打嗝代理 用于拦截和修改流量的工具,可与自定义 SSL 证书配合使用。 |
5 | Firefox 篡改数据 使用 tamperdata 查看和修改 HTTP/HTTPS 标头和 post 参数 |
6 | Firefox 网络开发工具 Web Developer 扩展向浏览器添加了各种 Web 开发人员工具。 |
7 | Cookie 编辑器 允许用户添加、删除、编辑、搜索、保护和阻止 cookie |
特定工具集
以下工具可以帮助我们发现系统中特定类型的漏洞 -
编号 | 关联 |
---|---|
1 | DOMinator Pro - DOM XSS 测试 |
2 | OWASP SQLiX - SQL 注入 |
3 | Sqlninja - SQL 注入 |
4 | SQLInjector - SQL 注入 |
5 | sqlpowerinjector - SQL 注入 |
6 | SSL Digger - 测试 SSL |
7 | THC-Hydra - 暴力密码 |
8 | Brutus - 暴力密码 |
9 | Ncat - 暴力破解密码 |
10 | OllyDbg - 测试缓冲区溢出 |
11 | Spike - 测试缓冲区溢出 |
12 | Metasploit - 测试缓冲区溢出 |
商业黑盒测试工具
以下是一些商业黑盒测试工具,可以帮助我们发现我们开发的应用程序中的安全问题。
序列号 | 工具 |
---|---|
1 | NGSS松鼠 |
2 | IBM AppScan |
3 | Acunetix Web 漏洞扫描程序 |
4 | 网络蜘蛛 |
5 | 肥皂用户界面 |
6 | 网火花 |
7 | 惠普网络检测 |
免费源代码分析器
序列号 | 工具 |
---|---|
1 | OWASP 视野 |
2 | OWASP O2 |
3 | 搜索数字 |
4 | FXCOP |
5 | 夹板 |
6 | Boon |
7 | W3af |
8 | 缺陷查找器 |
9 | 查找错误 |
商业源代码分析器
这些分析器检查、检测和报告源代码中容易出现漏洞的弱点 -
序列号 | 工具 |
---|---|
1 | Parasoft C/C++ 测试 |
2 | 惠普强化 |
3 | 应用扫描 |
4 | 维拉科德 |
5 | 装甲代码安全 |
6 | 语法科技 |