问题标签 [penetration-tools]

我听说 Python 非常适合进行渗透测试。它有很好的模块。但它不是一个好的框架，比如 Metasploit。

根据您的经验，您在站点漏洞方面发现、处理或遇到了什么？您采取了哪些措施来缓解这些问题？

这可能包括 XSS（跨站点脚本）、SQL 注入攻击、普通的旧 DDOS 或对您网站客户的网络钓鱼尝试。就在昨天，我遇到了整个 Firefox 工具，用于审核网站及其潜在的各种漏洞。

希望扩展我在该领域的知识以担任职务，因此阅读或学习更多信息总是好的 - 也感谢可靠的​​链接！还有你发现的最糟糕的战争故事或你见过的最可怕的洞——从经验中学习有时是最好的方法！

我目前与其他用户共享无线网络

是否有任何工具可以衡量每个用户的互联网消费情况？比如获取信标之类的？

我想知道一直下载的烦人是谁。

感谢极客！

我不确定这是否对 SO 来说是一个合适的问题，但我还是会继续，因为我不确定。

我一直在为我当前的项目寻找渗透测试工具，并找到了其中的一些工具，但最终还是要认真对待这一点，并寻找专门从事此类工作的专业组织或个人。

寻找工具的原因只是为了让我能够在启动完整的渗透测试周期之前摘下低垂的果实。这也有望使该过程更便宜，因为我希望已经解决了所有明显的漏洞。

工具和资源

• BurpSuite
• IBM 应用扫描
• nmap.org
• 尼克托

组织与个人

我想知道是否有任何资源可以对执行这些任务的组织进行评级和审查？有没有你可以推荐的组织，你以前使用过并取得了很好的效果？

我正在开发一个客户端服务器应用程序，其中客户端是用 java 编写的，服务器是用 c++ 编写的。

我的一位客户使用 Think Secure Tool 进行了渗透测试（不确定他们使用了哪些工具）并得到了漏洞（更恰当地说是弱点） 1.通过 Web 服务器进程的内存泄漏和 2.潜在的缓冲区溢出。

他们将此结果发送到我们的应用程序用来显示所有相关事件的特定端口。

我对这个问题一无所知，也不知道要解决这个问题。请向我建议可以在这个问题上帮助我的方法或任何参考材料......提前致谢

我有 TamperData 作为 Firefox 扩展。有没有更好的软件好用的拦截请求调用和修改..

Webscrab 和 Paros 只工作了一半而且不好

每个人！！我使用 ZAP 工具对某个站点进行渗透测试，我发现我可以通过 GET 请求从 jquery 库中看到文本，如下所示：

是网站的漏洞吗？应该被开发者禁止吗？

我有一个 J2EE Web 应用程序，并且想进行渗透测试。我通过浏览获得了一些工具，但正在寻找一些关于免费/付费渗透工具的专家意见。如果有人做过渗透测试，请告诉我你的经验和建议。提前致谢。

我正在使用zed攻击代理工具。它没有在新版本的响应选项卡中显示呈现的 html。有什么问题。

我们将使用 OWASP ZAP 测试一个 JSF 2.2 应用程序。

但是，它不能很好地执行：测试无法理解如何接管 id 的javax.faces.ViewState。是否可以像 JMeter 一样接管 ViewState ID？我们在 JMeter 中看到：http ://wiki.apache.org/myfaces/PerformanceTestingWithJMeter