- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the help center为指导。
9年前关闭。
我们有数百个用 asp、.net 和 java 开发的网站,我们正在支付大量资金请外部机构对我们的网站进行渗透测试,以检查安全漏洞。
是否有任何(好的)软件(付费或免费)可以做到这一点?
或者.. 是否有任何技术文章可以帮助我开发此工具?
最佳答案
使用 Web 应用程序的自动化测试工具可以有几个不同的方向。
首先,有商用网页扫描仪 ,其中 HP WebInspect 和 Rational AppScan 是最受欢迎的两个。这些是“多合一”、“即发即弃”的工具,您可以下载并安装在内部 Windows 桌面上,然后提供一个 URL 来抓取您的站点,扫描众所周知的漏洞(即已命中 Bugtraq),并探测跨站点脚本和 SQL 注入(inject)漏洞。
二、还有源码扫描工具 ,其中 Coverity 和 Fortify 可能是最著名的两个。这些是您安装在开发人员桌面上的工具,用于处理您的 Java 或 C# 源代码并查找众所周知的不安全代码模式,例如糟糕的输入验证。
最后,还有渗透测试工具 .到目前为止,安全专业人员中最受欢迎的 Web 应用程序渗透测试工具是 Burp Suite,您可以在 http://www.portswigger.net/proxy 找到它。 .其他包括 Spike Proxy 和 OWASP WebScarab。同样,您将在内部 Windows 桌面上安装它。它将作为 HTTP 代理运行,您将使用浏览器指向它。您将像普通用户一样使用您的应用程序,同时它会记录您的操作。然后,您可以返回到每个单独的页面或 HTTP 操作并探查其是否存在安全问题。
在复杂的环境中,尤其是当您正在考虑 DIY 任何事情时,我强烈推荐渗透测试工具 .原因如下:
商业网络扫描仪提供了很多“广度”以及出色的报告。然而:
关于sql - 渗透测试工具,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72166/
我是新来的,所以我会尽量使我的帖子清晰易读。 在浏览某些站点的日志时,我遇到了一些我想在封闭服务器中重新创建/测试的黑客攻击尝试。我制作了一个简单的 PHP 网页,它获取一个名为“id”的变量,并且没
我有一个 NSView,它覆盖了其父窗口的内容 View 。该 View 有一个单击事件处理程序,可将其从内容 View 中删除。在这个观点之中,我还有另外一个观点。当我在此内部 View 中拖动鼠标
我正在读取 csv 中的链接并使用它来抓取。我希望 Node 渗透在抓取之间等待,可能是在抓取 10 个站点之后。我尝试使用 sleep ,但它似乎在错误的时间 sleep ,而下一个站点正在被抓取,
页面部分HTML代码 3 303 eur if (price_json.price != '0') { var price_container = docume
我按如下方式为我的查询编制索引: client.Index(new PercolatedQuery { Id = "std_query", Query = new QueryConta
我有一个使用多个 的表单.它们的位置使得弹出式 CSS 日历应该出现在其他人的字段上。但是,其他日期的文本字段最终位于日历的前面。 这只是一个 IE 问题,因为 Firefox 和 Safari 工
我正在编写一个与外部站点连接的 Electron 应用程序。我发现,cheerio 无法抓取需要登录的网站。所以我现在使用渗透,但它显示以下错误。 (get) 已加载 [get] https://so
我想实现一个Osmosis的任务,我想读取.osm.pbf文件并将其写入数据库: C:\osmosis-latest\bin>osmosis --read-pbf file="C:\sbox\maps
我是一名优秀的程序员,十分优秀!