软件测试:第五次作业

一、阐述常见的Web安全测试有几种类型?

(1)数据加密;(2)登录或身份验证;(3)输入验证;(4)SQL注入;(5)超时限制;(6)目录;(7)操作痕迹

二、安全测试工具调研

1.概述

序号 安全测试工具 商用 OR 免费 检测对象(二进制代码/源代码) 简介
1  Metasploit  免费 源代码   攻击框架,包含大量的插件,做渗透测试
2  Nessus 商用   源代码  针对服务器主机类漏洞检查工具
3 W3AF   免费  源代码  针对WEB应用的检测
4 Paros proxy  免费   源代码  基于java的web代理程序,可以评估web应用程序的漏洞
5 WebScarab  免费   源代码 基于代理劫持的分析,来进行攻击路径的检测 
6 Nikto   免费  源代码  旨在发现Web服务器的配置错误,插件和网页漏洞
7 Wapiti  免费   源代码  扫描指定目标的网页,并寻找脚本和表单来诸如数据,看看是否有漏洞
8  Nmap  免费  二进制代码

 属于主机扫描工具,可以进行全面的检查

...        

2.安全测试工具试用

首先安装Metasploit

软件测试:第五次作业_第1张图片

软件测试:第五次作业_第2张图片

Metasploit目前提供了三种用户使用接口,一个是GUI模式,另一个是console模式,第三种是CLI(命令行)模式。

Windows下GUI启动方式,从开始菜单——Metasploit Framework——Metaspliit GUI

软件测试:第五次作业_第3张图片

软件测试:第五次作业_第4张图片

软件测试:第五次作业_第5张图片

软件测试:第五次作业_第6张图片

 

你可能感兴趣的:(软件测试:第五次作业)