
- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP 協議基礎
- HTTPS 協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 駭客攻擊 Web 應用程式
- 安全測試 - 注入
- 測試身份驗證漏洞
- 測試跨站點指令碼攻擊
- 不安全的直接物件引用
- 測試安全錯誤配置
- 測試敏感資料洩露
- 缺少功能級訪問控制
- 跨站點請求偽造
- 存在漏洞的元件
- 未經驗證的重定向和轉發
- 安全測試 - Ajax 安全
- 測試安全 - Web 服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 拒絕服務
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - 自動化工具
有各種工具可用於執行應用程式的安全測試。一些工具可以執行端到端的安全測試,而另一些工具則專門用於發現系統中特定型別的缺陷。
開源工具
一些開源安全測試工具如下所示:
序號 | 工具名稱 |
---|---|
1 | Zed Attack Proxy 提供自動化掃描程式和其他工具來發現安全漏洞。 |
2 | OWASP WebScarab 使用 Java 開發,用於分析 Http 和 Https 請求。 |
3 | OWASP Mantra 支援多語言安全測試框架 https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
4 | Burp Proxy 用於攔截和修改流量的工具,並可使用自定義 SSL 證書。 |
5 | Firefox Tamper Data 使用 Tamper Data 檢視和修改 HTTP/HTTPS 標頭和 POST 引數 |
6 | Firefox Web 開發者工具 Web 開發人員擴充套件程式向瀏覽器新增各種 Web 開發人員工具。 |
7 | Cookie 編輯器 允許使用者新增、刪除、編輯、搜尋、保護和阻止 Cookie |
特定工具集
以下工具可以幫助我們發現系統中特定型別的漏洞:
序號 | 連結 |
---|---|
1 | OWASP SQLiX - SQL 注入 |
2 | Sqlninja - SQL 注入 |
3 | SQLInjector - SQL 注入 |
4 | sqlpowerinjector - SQL 注入 |
5 | SSL Digger - 測試 SSL |
6 | THC-Hydra - 密碼暴力破解 |
7 | Brutus - 密碼暴力破解 https://www.hackercoolmagazine.com/brutus-password-cracker-complete-guide/ |
8 | Ncat - 密碼暴力破解 |
9 | OllyDbg - 測試緩衝區溢位 |
10 | Metasploit - 測試緩衝區溢位 |
商業黑盒測試工具
以下是一些商業黑盒測試工具,它們可以幫助我們發現我們開發的應用程式中的安全問題。
序號 | 工具 |
---|---|
1 | NGSSQuirreL |
2 | IBM AppScan |
3 | Acunetix Web 漏洞掃描程式 |
4 | NTOSpider |
5 | SOAP UI |
6 | Netsparker |
7 | HP WebInspect |
免費原始碼分析器
序號 | 工具 |
---|---|
1 | OWASP Orizon |
2 | SearchDiggity |
3 | FXCOP |
4 | Splint |
5 | Boon |
6 | W3af |
7 | FlawFinder |
8 | FindBugs |
商業原始碼分析器
這些分析器檢查、檢測和報告原始碼中的弱點,這些弱點容易受到漏洞的影響:
序號 | 工具 |
---|---|
1 | Parasoft C/C++ 測試 |
2 | HP Fortify |
3 | Appscan |
4 | Veracode |
5 | Armorize CodeSecure |
6 | GrammaTech |