超级会员免费看
网络应用漏洞检测与模糊测试工具介绍
1. 常见网络应用攻击与检测工具
1.1 Burp Suite
Burp Suite是一个一体化的应用安全工具包,也是功能强大的Web应用攻击平台。它包含多个实用功能:
- Repeater :在对网站进行评估时,有时需要确保请求/响应仍然有效。Repeater允许重新发送HTTP或HTTPS请求,以便重新检查请求和响应。在处理会话ID时,这一点至关重要,因为如果会话ID不匹配,攻击往往无法奏效。
- Intruder :捕获流量后,Burp Suite有许多工具可用于对常见的Web应用漏洞进行攻击和其他测试。Intruder功能还允许根据各种变量自定义攻击,包括暴力破解和字符操作。
- Comparer :Comparer功能允许测试人员对捕获的流量进行逐位比较。这在检测细微变化或查看Web应用请求和响应中的会话ID号是否发生变化时非常有用。
由于Burp Suite功能丰富,无法详细介绍其每一部分,建议访问其官网(http://www.portswigger.net)获取更多详细示例。
1.2 Paros proxy
Paros proxy是一个有价值且功能深入的漏洞评估工具,它可以对整个网站进行爬取并执行各种漏洞测试。它还允许审计人员通过在浏览器和实际目标应用程序之间设置本地代理来拦截Web流量(HTTP/HTTPS),从而手动篡改或操作发送到目标应用程序的特定请求。因此,Paros proxy既可以作为主动的,也可以作为被动的Web应用安全评估工具
订阅专栏 解锁全文
扫一扫
47
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
