最近項目在做滲透測試工具都是破解版的Fortify , Burp Suite, 據說集團買的正版的100w...?一哥們說公司的項目bug代碼與正常代碼已經達到了1.5:1, 前5年寫的代碼接下來的5年也改不完...心想太扯淡了.

安全 越來越受重視, 代碼的功能只能算作工程的一部分了,? 可丁可卯四個字真是恰如其分.網上看了一點web安全方面的推薦書籍, 白帽子那本比較受歡迎, 那人也特地買了一本. web開發人員必須做到對自己的代碼安全負責.

以下為測試工具相關的轉載正文:https://evilcos.me/?p=336, 作為了解的入門吧.

======================================正文分割線=======================================

update: 2013/10/10

Firefox下

Firebug，調試js，HTTP請求響應觀察，Cookie，DOM樹觀察等；

GreaseMonkey，自己改了個Cookie修改腳本，其他同學可以用這款：Original Cookie Injector for Greasemonkey；

Noscript，進行一些js的阻斷；

AutoProxy，FQ必備；

Chrome下

F12打開開發者工具，功能==Firebug+本地存儲觀察等；

SwichySharp，FQ必備；

Cookie修改腳本，自己寫了一個Chrome擴展（已開源：Cookie利用神器：CookieHacker），其他同學可以自己到Chrome擴展搜個好用的；

前端滲透工具

XSS’OR，我開發的，常用其中加解密與代碼生成，源碼放到了這：evilcos/xssor · GitHub；

XSSEE 3.0 Beta，Monyer開發的，加解密最好用神器；

Online JavaScript beautifier，js美化工具，分析js常用；

前端攻擊框架，推薦BeEF及一些小伙伴開發的XSS盲打工具，我自己也有款，不過不輕易示人；

HTTP代理工具

Fiddler，即可，不用再尋找其他的了，其中的watcher插件可以玩玩，找漏洞的；

Burp Suite，神器，不僅HTTP代理，還有爬蟲、漏洞掃描、滲透、爆破等功能；

漏洞掃描工具

AWVS，不僅漏掃方便，自帶的一些小工具也好用；

Python自寫腳本/工具，好漏洞是你用AWVS等就能發現的？洗洗睡吧；

Nmap，絕對不僅僅是端口掃描！幾百個腳本；

漏洞利用

sqlmap，SQL注入利用最牛神器，沒有之一；

Metasploit，主機滲透框架，而Web層面上的就是知道創宇里的一些好玩意了（我可能在吹牛）；

一些社工平臺，好的都匿了；

Hydra，爆破必備；

抓包工具

Wireshark，抓包必備；

tcpdump，Linux下命令行抓包，結果可以給Wireshark分析；

大數據平臺

ZoomEye，知道創宇開放的一個網絡空間搜索引擎，搜搜組件就知道：ZoomEye（鐘馗之眼），可以認為我在廣告；

SHODAN， 老外開放的一個網絡空間搜索引擎，搜搜主機設備就知道：SHODAN – Computer Search Engine；

Google，：）

更多自己看看Kali Linux（老的是：BackTrack）。

節省生命推薦：熟練Linux眾多命令+Vim。

轉載于:https://www.cnblogs.com/yadongliang/p/9769390.html

總結

以上是生活随笔為你收集整理的关于web安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。