iT邦幫忙

0

Cross Site Script的自動化測試工具

fishk 2008-05-27 23:57:1810154 瀏覽

有人使用過任何Cross Site Script的自動化測試工具嗎? 麻煩推薦並介紹一下, 謝謝!

52
lucifer666
iT邦研究生 5 級 ‧ 2008-05-28 09:55:43
最佳解答

Nessus 應該是完全派不上用場。

如果要免費工具,用 Paros
http://www.parosproxy.org/index.shtml
不過你的主機要好一點,而且這軟體狀態不是很穩定,最好不要掃太大的站

要錢的話
Acunetix ,最便宜,也是國內盜版最多的 web scanner ,公家單位很多人都用這套
國內很多公司也為了省成本,用這套軟體的掃瞄結果直接混充滲透測試報告
效果普普,誤判和漏判都很高,看報告的人最好要有能力分析和辨別誤判的情形
(當然漏判的你沒辦法)

比較好一點的
HP (SPI Dynamics) WebInspect
IBM (Watchfire) AppScan
在掃瞄能力上、使用者操作和直接驗證弱點方面,都作得很不錯,
前面提到的 Acunetix 記得就是跟其中一家買技術。

據說前者的功能未來會整進HP Mercury 裏
後者的功能會整進 IBM Rational

44
fillano
iT邦超人 1 級 ‧ 2008-05-28 01:46:40

可以用Nessus來對主機做弱點掃描,應該可以排除一些起碼的安全疑慮。我有看到他的plugin裡面也有XSS的模組。
http://www.nessus.org/nessus/

我要發表回答

立即登入回答