软件测试：第五次作业

一、阐述常见的Web安全测试有几种类型？

（1）数据加密；（2）登录或身份验证；（3）输入验证；（4）SQL注入；（5）超时限制；（6）目录；（7）操作痕迹

二、安全测试工具调研

1.概述

序号	安全测试工具	商用 OR 免费	检测对象（二进制代码/源代码）	简介
1	Metasploit	免费	源代码	攻击框架，包含大量的插件，做渗透测试
2	Nessus	商用	源代码	针对服务器主机类漏洞检查工具
3	W3AF	免费	源代码	针对WEB应用的检测
4	Paros proxy	免费	源代码	基于java的web代理程序，可以评估web应用程序的漏洞
5	WebScarab	免费	源代码	基于代理劫持的分析，来进行攻击路径的检测
6	Nikto	免费	源代码	旨在发现Web服务器的配置错误，插件和网页漏洞
7	Wapiti	免费	源代码	扫描指定目标的网页，并寻找脚本和表单来诸如数据，看看是否有漏洞
8	Nmap	免费	二进制代码	属于主机扫描工具，可以进行全面的检查
...

2.安全测试工具试用

首先安装Metasploit

Metasploit目前提供了三种用户使用接口，一个是GUI模式，另一个是console模式，第三种是CLI（命令行）模式。

Windows下GUI启动方式，从开始菜单——Metasploit Framework——Metaspliit GUI