有人使用過任何Cross Site Script的自動化測試工具嗎? 麻煩推薦並介紹一下, 謝謝!
已邀請的邦友 {{ invite_list.length }}/5
Nessus 應該是完全派不上用場。
如果要免費工具,用 Paros
http://www.parosproxy.org/index.shtml
不過你的主機要好一點,而且這軟體狀態不是很穩定,最好不要掃太大的站
要錢的話
Acunetix ,最便宜,也是國內盜版最多的 web scanner ,公家單位很多人都用這套
國內很多公司也為了省成本,用這套軟體的掃瞄結果直接混充滲透測試報告
效果普普,誤判和漏判都很高,看報告的人最好要有能力分析和辨別誤判的情形
(當然漏判的你沒辦法)
比較好一點的
HP (SPI Dynamics) WebInspect
IBM (Watchfire) AppScan
在掃瞄能力上、使用者操作和直接驗證弱點方面,都作得很不錯,
前面提到的 Acunetix 記得就是跟其中一家買技術。
據說前者的功能未來會整進HP Mercury 裏
後者的功能會整進 IBM Rational
可以用Nessus來對主機做弱點掃描,應該可以排除一些起碼的安全疑慮。我有看到他的plugin裡面也有XSS的模組。
http://www.nessus.org/nessus/
iThome鐵人賽
看影片追技術