點數(20)
有人使用過任何Cross Site Script的自動化測試工具嗎? 麻煩推薦並介紹一下, 謝謝!
收藏到:
解決時間:2008-06-02 10:34:02
發問時間:2008-05-27 23:57:18
最佳解答(發問者自選)
23人
Nessus 應該是完全派不上用場。
如果要免費工具,用 Paros
http://www.parosproxy.org/index.shtml
不過你的主機要好一點,而且這軟體狀態不是很穩定,最好不要掃太大的站
要錢的話
Acunetix ,最便宜,也是國內盜版最多的 web scanner ,公家單位很多人都用這套
國內很多公司也為了省成本,用這套軟體的掃瞄結果直接混充滲透測試報告
效果普普,誤判和漏判都很高,看報告的人最好要有能力分析和辨別誤判的情形
(當然漏判的你沒辦法)
比較好一點的
HP (SPI Dynamics) WebInspect
IBM (Watchfire) AppScan
在掃瞄能力上、使用者操作和直接驗證弱點方面,都作得很不錯,
前面提到的 Acunetix 記得就是跟其中一家買技術。
據說前者的功能未來會整進HP Mercury 裏
後者的功能會整進 IBM Rational
Cross Site Script的自動化測試工具
回答:23人
基本
http://searchwindowssecurity.techtarget.com/tip/0,289483,sid45_gci1293781,00.html
http://searchwindowssecurity.techtarget.com/tip/0,289483,sid45_gci1293781,00.html
http://en.wikipedia.org/wiki/Cross-site_scripting於 2008-05-28 01:17:16 補充
The best protection for XSS is a combination of "whitelist" validation of all incoming data and appropriate encoding of all output data. Validation allows the detection of attacks, and encoding prevents any successful script injection from running in the browser.於 2008-05-28 01:18:05 補充
回答:20人
可以用Nessus來對主機做弱點掃描,應該可以排除一些起碼的安全疑慮。我有看到他的plugin裡面也有XSS的模組。
http://www.nessus.org/nessus/
http://www.nessus.org/nessus/
這個工具內建了一套腳本語言:nasl(nessus attack scripting language),可以寫出攻擊腳本來做測試。目前的版本(3.2),內建了兩萬多種測試plugins。內建的測試plugins可能都是用nasl開發的吧。除了內建的plugins,也可以使用非官方的nasl來做測試。
早期的nessus是open source的,從3.0開始改為close source,但是還是可以用nasl來新增功能,另外open source的版本還是可以下載。
nessus還有提供一個叫做direct feed服務來做更新,但是應該是3.0以上以及商業版本才能使用這個服務。於 2008-05-28 10:04:48 補充
早期的nessus是open source的,從3.0開始改為close source,但是還是可以用nasl來新增功能,另外open source的版本還是可以下載。
nessus還有提供一個叫做direct feed服務來做更新,但是應該是3.0以上以及商業版本才能使用這個服務。於 2008-05-28 10:04:48 補充
Nessus的問題,應該是沒有分析未知弱點的能力吧,它內建的測試都是根據一些已知軟體的問題或弱點來偵測的。
如果要測試web app,也許用專門做web app測試的軟體會更適合。如lucifer666所建議的。於 2008-05-28 10:38:25 補充
如果要測試web app,也許用專門做web app測試的軟體會更適合。如lucifer666所建議的。於 2008-05-28 10:38:25 補充
不過手動作xss測試應該不太困難,關鍵在於兩個部分:
1. web app有沒有針對輸入資料中的javascript做過濾
2. web app有沒有針對輸入資料中的隱藏在css裡面的javascript做過濾
入侵的重點主要在這兩個地方。於 2008-05-28 11:27:06 補充
1. web app有沒有針對輸入資料中的javascript做過濾
2. web app有沒有針對輸入資料中的隱藏在css裡面的javascript做過濾
入侵的重點主要在這兩個地方。於 2008-05-28 11:27:06 補充
回應 :
請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數
相關問答
- 使用Ajax的網頁安全性
- [RoR] 簡單畫出 216 網頁安全色表
- vPro的資安管理
- 請問目前最新最熱門的資訊安全技術是哪些呢?
- 網頁瀏覽器本身是否也可能成為駭客下手的目標,怎麼做到的?
- 什麼是網頁應用程式源碼檢測
- 什麼是惡意檔案執行攻擊(Malicious File Execution)?
- 資安30招
- 【訊息快遞】2008 企業資安普查-10/17前,填完送卡巴,還可抽大獎!!
- 資安管理的十一大領域
- 讓讓稽核幫資安加分 - 製造業北中南巡迴研討會,敬請把握報名機會!
- 資安-微軟 Windows SteadyState
- [小財神有問題!]你曾經遇過最大的資安危機是什麼?
- IThome 2008資安研討會
- HI-NET 2.0 資安團隊
- 如何制訂資安政策
- 資安管理制度的文件架構
- 什麼是JavaScript Hijacking?
- 資安人員與電腦稽核的角色
- 資安 - 最新國內分區研討會