我正在写一篇关于“识别和测试网站中的安全漏洞”的本科研究论文。最初我想我会手动测试,因为我在我的方法中指定了我只会测试少数选定的漏洞,即 SQL 注入、跨站点脚本、错误报告、会话劫持和输入验证。但是当我继续研究时,我发现所有文章和教程都建议使用软件。
我的伙伴管理的网站很少,所以我想在他们的网站上进行测试。我正在检查六个网站上的几个漏洞。我应该使用渗透测试工具还是只在没有软件的情况下进行动态渗透测试?
user3558596
问问题
11381 次
2 回答
5
这一切都归结为你想要的;你可以使用Burp Suite,它是一个很棒的手动渗透测试工具,它有一个很好的社区和在线资源,可以让你有效地执行渗透测试。
您可能想尝试自动 Web 应用程序扫描程序,例如Acunetix Web Vulnerability Scanner,它还附带手动渗透测试工具和站点的自动爬取和扫描(这是很棒的 IMO)。他们还提供 14 天免费试用,这对于您的目的来说应该绰绰有余。
我一直认为渗透测试应该从上面提到的自动化软件工具开始,并通过手动干预来加强,以确保您有效地测试了应用程序。
没有正确或错误的方法,但是上面的方法是许多人选择的。您可能还想阅读 Dafydd Stuttard 和 Marcus Pinto 的 Hacker's Handbook。这对 Web 应用程序、如何渗透它们以及如何保护它们提供了一个很好的概述。
于 2015-05-25T08:56:22.987 回答
0
我个人喜欢和推荐的 Web 漏洞扫描器是Punk Spider 扫描器。它可以检测 XSS、SQL 注入、SQLI 漏洞、配置不当的 PHP 代码、弱验证系统等等。
于 2015-05-29T17:43:22.643 回答