求分享:web 项目,大家是如何做安全测试的呢?哪些工具好用呢?最好是开源的,哈哈哈哈~
用工具简单,了解原理才是最重要的!
1、无论是 Appscan、BurpSuite,都是客户端软件,目前都流行将各种测试工具服务化,变成云测工具!
2、github 中搜索 awesome-security,有你所要的知识!
OWASP 了解一下。
常见的漏洞有:
BurpSuite 打遍天下,我靠他挖掘到 N 多问题,诸如:
等等
接口漏校验(只在前端做了校验,接口层未校验),水平越权(使用用户 A 的 token,可以修改用户 B 的某些信息),前天测试时遇见的
常见的 c 端需要测试漏洞也就是 sql 注入还有 xss,python 有个 sqlmap,可以用来测试这两个。另外 xss 建议根据实际项目去直接录入 js 验证。
好像 IBM 之前出过一款软件叫 APPSCAN,可以做一些 web 端的测试检查