一、阐述常见的Web安全测试有几种类型?
(1)数据加密;(2)登录或身份验证;(3)输入验证;(4)SQL注入;(5)超时限制;(6)目录;(7)操作痕迹
二、安全测试工具调研
1.概述
| 序号 | 安全测试工具 | 商用 OR 免费 | 检测对象(二进制代码/源代码) | 简介 |
|---|---|---|---|---|
| 1 | Metasploit | 免费 | 源代码 | 攻击框架,包含大量的插件,做渗透测试 |
| 2 | Nessus | 商用 | 源代码 | 针对服务器主机类漏洞检查工具 |
| 3 | W3AF | 免费 | 源代码 | 针对WEB应用的检测 |
| 4 | Paros proxy | 免费 | 源代码 | 基于java的web代理程序,可以评估web应用程序的漏洞 |
| 5 | WebScarab | 免费 | 源代码 | 基于代理劫持的分析,来进行攻击路径的检测 |
| 6 | Nikto | 免费 | 源代码 | 旨在发现Web服务器的配置错误,插件和网页漏洞 |
| 7 | Wapiti | 免费 | 源代码 | 扫描指定目标的网页,并寻找脚本和表单来诸如数据,看看是否有漏洞 |
| 8 | Nmap | 免费 | 二进制代码 | 属于主机扫描工具,可以进行全面的检查 |
| ... |
2.安全测试工具试用
首先安装Metasploit
Metasploit目前提供了三种用户使用接口,一个是GUI模式,另一个是console模式,第三种是CLI(命令行)模式。
Windows下GUI启动方式,从开始菜单——Metasploit Framework——Metaspliit GUI
