简而言之,我正在寻找一种工具来对Web应用程序执行自动,零配置,全正面攻击。
我认为这在逻辑上是一个浏览器扩展,它既可以抓取给定域/路径上的链接,也可以随机将数据输入到表单中并提交它们。具体来说,表单输入将随机包括各种数据类型,特殊字符,过多数据,各种字符编码和空值。多线程是必需的(也许一个插件只使用多个Firefox选项卡)。
该工具不会(也不应该)对结果做出任何断言,或验证任何应用程序行为。相反,持久层(DB记录等)和应用程序日志将用于评估此“测试工作”的结果。
这将是一个补充现有测试工具(Selenium,QuickTestPro)和可能无法100%覆盖的方法的工具。
对现有或开发中工具的任何建议?如果没有,我很想开始一个开源项目。
澄清:我特别不是在寻找渗透测试工具。
更新:我已经创建了一个开源项目来满足这个问题。见下面的评论。
答案 0 :(得分:2)
我使用了Acunetix的试用了一段时间。它似乎相当有效,虽然它花了比我想象的更长的时间,但肯定不是开源的。
我忘了这件事的名字,this list at SoftwareQATest是我再次发现它的地方。该列表可能对您有用。 The list of testing tools at OWASP看起来同样方便。
答案 1 :(得分:2)
答案 2 :(得分:1)
答案 3 :(得分:1)