问题标签 [security-testing]

我最近在一个将 XSS 攻击直接写入数据库的工具上发现了这个博客条目。它看起来是一种非常好的方法来扫描应用程序以查找我的应用程序中的弱点。

我尝试在Mono上运行它，因为我的开发平台是 Linux。System.ArgumentNullException不幸的是，它在内心深处崩溃了Microsoft.Practices.EnterpriseLibrary，我似乎无法找到有关该软件的足够信息（它似乎是一个单一的项目，没有主页，也没有进一步的开发）。

有人知道类似的工具吗？最好应该是：

• 跨平台（Java、Python、.NET/Mono，甚至跨平台 C 也可以）
• 开源（我真的很喜欢能够审核我的安全工具）
• 能够与广泛的数据库产品交谈（最重要的数据库产品：MySQL、Oracle、SQL Server ......）

编辑：我想澄清我的目标：我想要一个直接将成功的 XSS/SQL 注入攻击的结果写入数据库的工具。这个想法是我想检查我的应用程序中的每个地方是否正确输出编码。首先检测并避免数据到达那里是完全不同的事情（当我显示由第三方应用程序写入数据库的数据时可能无法实现）。

编辑 2：我上面链接到的工具的作者 Corneliu Tusnea 已经在 codeplex 上作为免费软件发布了该工具：http: //xssattack.codeplex.com/

我正在使用 WebScarab 豆壳。只是想知道调试 shell 脚本的最佳方法是什么？

我想知道是否有任何可用的免费工具可用于测试 Rails 应用程序中的安全漏洞。我遇到了skipfish，我发现它的报告不是很直观。有没有类似的工具可用？

更新

我找到了一个工具，ZAP，它可以用于对任何 Web 应用程序进行渗透测试。您可以通过将其与 Selenium 等测试工具集成来轻松实现自动化。这看起来真的很酷，并且具有许多功能并且易于使用。

莉娜

谁能告诉我如何在网站中执行跨站点脚本 (XSS)？可以插入文本框、地址栏的不同类型的脚本有哪些？

我正在测试一个基于桌面的客户端服务器应用程序。我想对该应用程序执行安全测试。

谁能解释我在执行桌面应用程序的安全测试时可以考虑哪些要点？

任何人都可以建议，在哪里可以找到有关 Paros Proxy 的详细教程，我的意思是如何使用 paros 测试应用程序。关注站点提供的信息还不够，因为它只建议使用它，我想知道如何放置 SQL 注入或 XSS 等。请提出一些帮助。提前致谢。

我是移动领域的新手。测试移动应用程序安全漏洞的最佳方法应该是什么。请分享信息，如果有人知道任何可用于实现相同目的的工具。

我正在寻找android和iOS平台。

我想从测试中生成一份基本报告，我希望测试涵盖 OWASP 前 10 名。我查看了 OWASP ZAP 报告，但这只是突出了任何问题，而不是说 XY 和 Z 已经过测试而没有任何证据与详细说明发现的问题一起发生。

这不是关于如何测试 Web 应用程序的问题。问题是：是否有任何工具可以生成报告，说明测试的内容以及漏洞？

我在我的 iOS 和 Android 项目中使用 Worklight。我也在使用适配器，进行安全测试，并使用基于适配器的身份验证。

我想使用推送通知，从基于适配器的身份验证功能收到用户 ID。所以我使用相同的securityTest。

现在，当我尝试将我的安全测试与推送事件源一起使用时，出现错误“无法从数据库部署适配器”

当我删除最后一行（securityTest）时，适配器被部署，当我添加它时，它失败了。

此 securityTest 已与多个其他适配器功能一起使用。

任何人都可以解释我怎么了？提前致谢。

编辑：这是我的安全测试定义：

我正在使用soapUI和groovy来测试一个特定的值是否会再次重新生成？

我将有一个带有 JSON 的soapUI 请求，它在响应中给出一个 id，我应该提取 tat id 并将其存储在动态位置，以便当我再次运行测试用例时，我应该能够比较 prev id。如果两者都匹配，则测试用例应该失败，如果不匹配，则应该添加新值，并且当测试用例现在运行时，它应该比较前两个值。

这持续了至少 10000 次运行。所以第 10000 个 id 应该与所有第 9999 个 id 进行比较以检查重复。如果它存在，它应该失败，否则测试应该通过。

请帮助我..提前谢谢！