软件测试2019:第五次作业
一、回答下述问题:
- 阐述常见的Web安全测试有几种类型?参考教材P173.
7种
①数据加密;
②登录或身份验证;
③输入验证;
④SQL注入;
⑤超时限制;
⑥目录;
⑦操作痕迹。
二、安全测试工具调研
1. 概述
|
序号 |
安全测试工具 |
商用OR免费 |
检测对象 |
简介 |
|
1 |
Metaspoit |
免费 |
源代码 |
攻击框架,包含大量的插件,做渗透测试 |
|
2 |
W3AF |
免费 |
源代码 |
针对WEB应用的检测 |
|
3 |
Pangolin |
商用 |
源代码 |
通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。 |
|
4 |
App Detective |
商用 |
源代码 |
高效、快速、 可靠地对数据库进行扫描及安全控制审查 |
|
5 |
Hydra |
免费 |
二进制代码 |
展示安全研究人员从远程获取一个系统认证权限 |
|
6 |
Nmap |
免费 |
二进制代码 |
一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统 |
|
7 |
wireshark |
免费 |
源代码 |
撷取网络封包,并尽可能显示出最为详细的网络封包资料 |
2. 安全测试工具试用
选择一个开源的安全测试工具(可以参考教材 P176),开展试用,写一个试用报告。报告内容
1)记录完整的测试过程(工具安装、环境设置、测试过程、结果分析),包括脚本文件;
2) 提交安全测试报告,描述所做的测试、遇到的问题、结果分析等,要包括主要的测试运行截图。
我选的是hydra
闪退,要用命令行运行
无法正常使用,没有自己的界面,用命令行太麻烦了。
