分类: 项目管理
2009-03-24 16:17:37
磁针石 oychw.cublog.cn
联系方式: gmail and gtalk: xurongzhong#gmail.com
文件路径:
初稿日期:
来源:《Web Security Testing Cookbook, 1st Edition》
类型:读书笔记
*Firefox
.
以下为火狐插件:
View Source Chart
Firebug
Tamper Data
Edit Cookies
User Agent Switcher
SwitchProxy
* OWASP's WebScarab
版本有:Java Web Start version, or the standalone version
都需要java运行时的支持。
Web版本:.
程序版本:.
这里也可以:.
* Perl -indows
建议作为Cygwin的一部分。
也可以直接从下载。
Activeperl有包管理工具。
* Perl 和CPAN -inux, Unix, or OS X
下载:Comprehensive Perl Archive Network (CPAN) ().
CPAN的库很多,我们主要使用LibWWW。
在Cygwin中安装:perl -MCPAN -e 'install LWP'
其他:
perl -MCPAN -e 'install HTTP::Request'
perl -MCPAN -e 'install Math::Base36.pm'
shell中安装:
perl -MCPAN -e shell
install Math::Base36
install LWP
* CAL9000
系黑盒工具包,
主要用JavaScript书写,可以直接在Firefox运行.
这个工具有点危险,不要安装在服务器上面。
解压后,用火狐打开CAL9000.html就可以运行。
* ViewState Decoder
ASP.NET的网页中,每页都有ViewState的隐藏变量。
下载:
ViewState比较复杂,容易出错,很多开发人员包含了太多信息在里面,可能存在安全隐患。
* cURL
cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。
cURL支援的通讯协定有FTP、FTPS、HTTP、HTTPS、TFTP、Telnet、DICT、FILE和LDAP。
在shell下模拟浏览器
下载地址:http://curl.haxx.se/download.html.
教程:http://curl.haxx.se/docs/httpscripting.html
也可以作为Cygwin的一部分。
* Pornzilla
一些Firefox书签和扩展的集合
下载:
收集了RefSpoof,Digger,Spiderzilla,Increment and Decrement tamper with URL parameters.等。
* Cygwin
Cygwin是许多自由软件的集合,最初由Cygnus Solutions开发,用于各种版本的Microsoft Windows上,运行UNIX类系统。Cygwin的主要目的是通过重新编译,将POSIX系统(例如Linux、BSD,以及其他Unix系统)上的软件移植到Windows上。Cygwin移植工作在Windows NT、Windows 2000、Windows XP以及Windows Server 2003上比较好,在Windows 95和Windows 98上,相对差劲一些。目前Cygwin由Red Hat等负责维护。
维基介绍:
下载:
它不是虚拟机。
* Nikto
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
实际是Perl脚本。下载:。需要依赖LibWhisker(),使用:perl nikto.pl -h 192.168.0.1
文档:
* Burp Suite
Web安全工具包。下载:
入侵部分是收费的。工具有:Burp proxy,Burp spider,Burp sequencer,Burp repeater。
* Apache HTTP
下载: