Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19877943
  • 博文数量: 679
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 9308
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-18 10:51
文章分类

全部博文(679)

文章存档

2012年(5)

2011年(38)

2010年(86)

2009年(145)

2008年(170)

2007年(165)

2006年(89)

分类: 项目管理

2009-03-24 16:17:37

§2     安装免费工具

磁针石 oychw.cublog.cn

联系方式: gmail and gtalk: xurongzhong#gmail.com

文件路径:

初稿日期:2009-3-24

来源:《Web Security Testing Cookbook, 1st Edition

类型:读书笔记



Firefox

       .

以下为火狐插件:

View Source Chart  

Firebug

Tamper Data

Edit Cookies   

User Agent Switcher

SwitchProxy

 

     OWASP's WebScarab

版本有:Java Web Start version, or the standalone version

都需要java运行时的支持。

Web版本:.

程序版本:.

       这里也可以:.

 

      

 

     Perl indows

建议作为Cygwin的一部分。

也可以直接从下载。

Activeperl有包管理工具。

     Perl CPAN inux, Unix, or OS X

下载:Comprehensive Perl Archive Network (CPAN) ().

CPAN的库很多,我们主要使用LibWWW

Cygwin中安装:perl -MCPAN -e 'install LWP'

其他:

perl -MCPAN -e 'install HTTP::Request'

 

perl -MCPAN -e 'install Math::Base36.pm'

 

shell中安装:

perl -MCPAN -e shell

 

install Math::Base36

 

install LWP

 

     CAL9000

系黑盒工具包,

主要用JavaScript书写,可以直接在Firefox运行.

这个工具有点危险,不要安装在服务器上面。

解压后,用火狐打开CAL9000.html就可以运行。

 

     ViewState Decoder

ASP.NET的网页中,每页都有ViewState的隐藏变量。

下载:

ViewState比较复杂,容易出错,很多开发人员包含了太多信息在里面,可能存在安全隐患。

     cURL

cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。

 

cURL支援的通讯协定有FTPFTPSHTTPHTTPSTFTPTelnetDICTFILELDAP

shell下模拟浏览器

下载地址:http://curl.haxx.se/download.html.

教程:http://curl.haxx.se/docs/httpscripting.html

也可以作为Cygwin的一部分。

 

     Pornzilla

一些Firefox书签和扩展的集合

下载:

收集了RefSpoofDiggerSpiderzillaIncrement and Decrement tamper with URL parameters.等。

     Cygwin

Cygwin是许多自由软件的集合,最初由Cygnus Solutions开发,用于各种版本的Microsoft Windows上,运行UNIX类系统。Cygwin的主要目的是通过重新编译,将POSIX系统(例如LinuxBSD,以及其他Unix系统)上的软件移植到Windows上。Cygwin移植工作在Windows NTWindows 2000Windows XP以及Windows Server 2003上比较好,在Windows 95Windows 98上,相对差劲一些。目前CygwinRed Hat等负责维护。

维基介绍:

下载:

它不是虚拟机。

 

     Nikto

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

实际是Perl脚本。下载:。需要依赖LibWhisker),使用:perl nikto.pl -h 192.168.0.1

文档:

 

     Burp Suite

Web安全工具包。下载:

入侵部分是收费的。工具有:Burp proxyBurp spiderBurp sequencerBurp repeater

 

     Apache HTTP

下载:

 

阅读(5457) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~