我的目标,把臭虫掐死在需求阶段; 我的口号,做测试,让BUG无路可走; 我的行动:笔直往前,绝不后退!

关于最近的学习-安全测试工具

上一篇 / 下一篇  2009-08-27 22:17:58

前段时间学习了关于安全测试的理论,最近在学习应用,包括利用工具进行操作,和手工进行安全检测。
说一下几个最近研究的工具吧。因为家里电脑是vista的,所以安装之后,好几个工具不能用,Paros 以及webscarab,这两个都是在vista下面安装之后,使用不了。并且由于webscarab的文档不多,看了好几个E文的QA之后,终于绝望的发现vista和这个工具不兼容,主要问题在于安装之后有一个插件初始化出错,并且网上也没有找到解决办法。这个工具貌似07年后就没有更新,如果win7想用,我想可能也是有问题的,因为win7事实上和vista差不多的。
对于Paros,反正网上没有找到它和vista有什么恩怨,但是就是不行,不报错,却也监听不到数据,刚开始还怀疑自己设置出错了,后来发现是操作系统的问题,XP上就能够得到数据。
 
转入正题
----------------------华丽的分割线----------------------------
简单说一下这两个工具的原理吧,都属于HTTP监听的工具,主要是辅助进行手工测试,用来获取web上传输的数据包。
 
step1:设置IE代理。在IE中-工具-选项-局域网,设置代理为localhost,端口8080,webscarab的话设置为8008。
step2:设置完之后,关闭掉MSN,QQ等IM软件,因为这些软件的有些数据传输是通过80或者8080端口的,如果开着会影响你得到的数据。
step3:设置好之后,就是打开对应的工具,然后打开IE。如果不先打开工具,你是访问不了网络的哦,因为设置本地locahost代理之后,你所有的本地IE访问都会经过工具的。
当然如果你访问的网页端口不是80或者8080,那么工具是不会监听到这些数据,但是一般HTTP使用端口都是80或者8080,HTTPS的端口为443。
监听得到数据之后,针对POST的数据,我们需要特别关注一下,要进行手工测试,来进一步的确认是否有安全隐患在。
安全测试学习的推荐网站testfire.net,这是一个经典的安全测试网站,可以在线进行安全测试,XSS或者SQL注入等操作。当然和这个网站相关的一个工具appscan也是一个比较经典的工具,可惜它的中文版还没有破解,只有试用版本。
 
-----------------------------------------------------
P.S:写在之后。appscan好象是有中文版了,可惜我一直没有找到注册码;
使用IE对本地webscarab进行测试,经常拦截不了post和get的数据,出不来编辑框;但是换firefox就可以了
 

TAG:

zhenliutianyu的个人空间 引用 删除 zhenliutianyu   /   2010-02-11 12:58:00
Watchfire AppScan 在vista下也是不能安装啊,直接提示我操作系统不支持
aslandhu的新窝:http://www.wuchuanhu.cn/ 引用 删除 aslandhu   /   2009-08-28 13:11:21
“当然和这个网站相关的一个工具appscan也是一个比较经典的工具,可惜它的中文版还没有破解,只有试用版本。
”checking is believing
 

评分:0

我来说两句

日历

« 2024-03-27  
     12
3456789
10111213141516
17181920212223
24252627282930
31      

数据统计

  • 访问量: 6604
  • 日志数: 6
  • 文件数: 1
  • 建立时间: 2009-04-30
  • 更新时间: 2009-09-20

RSS订阅

Open Toolbar