我正在做一份关于"识别和测试网站中安全漏洞的本科研究论文"。最初我认为我会手动测试,因为我在我的方法中指定我只会测试几个选定的漏洞,即SQL注入,跨站点脚本,错误报告,会话劫持和输入验证。但是当我继续研究时,我发现所有文章和教程都建议使用软件。
我的伙伴管理的网站很少,所以我想在他们的网站上进行测试。我正在检查六个网站上的漏洞。我应该使用渗透测试工具还是在没有软件的情况下进行动态渗透测试?
答案 0 :(得分:4)
这一切归结为你想要的东西;你可以使用Burp Suite这是一个很好的手动测试工具,有一个很好的社区和资源在线,可以让你有效地进行笔测试。
您可能想尝试自动Web应用程序扫描程序,例如Acunetix Web漏洞扫描程序,它还附带手动测试工具以及自动抓取和扫描站点(这是一个很棒的IMO)。他们还提供免费的14天试用,这些试验应该足以满足您的目的。
我始终认为,测试应该从如上所述的自动化软件工具开始,并通过手动干预加强,以确保您有效地测试应用程序。
没有正确或错误的方法,但上述方法是许多人选择的方法。您可能还想阅读Dafydd Stuttard和Marcus Pinto撰写的Hacker's Handbook。这对Web应用程序,如何渗透它们以及如何保护它们提供了很好的概述。
答案 1 :(得分:0)
我个人喜欢并推荐的网络漏洞扫描程序是here。它检测XSS,SQL注入,SQLI漏洞,配置不当的PHP代码,弱身份验证系统等等。