Netsparker是一款web应用安全漏洞扫描工具

Netsparker是一款web应用安全漏洞扫描工具

Netsparter官网：网站安全扫描器，与其他安全扫描工具相比更好检测SQL注入和跨站脚本攻击类型的安全漏洞。

打开工具，点击start a new scan，选择full scan（全部扫描），单击开始

在登录下进行扫描

等待扫描结果，并分析

常见问题分析Cross-site Scripting 跨站脚本Password Transmitted over HTTP 通过HTTP传输密码Version Disclosure (Java Servlet) 版本信息披露推荐资料

网站：书籍：白帽子讲Web安全

测试中遇到的问题登录操作扫描，在第三步playback处出错无法再进行下去？

第一个URL是登录界面的URL, 第二个URL是这个被测网站的URL, 可以打开帮助文档看到这个截图,类推:

Netsparker能否生成报告，没有的话安全报告怎么出？截图？

窗口Reporting--》Comperrision Report---》保存文件为html或者pdf格式的---》在跳出的窗口中选择open

这个工具的测试报告是以问题列表形式提供的, 可以直接导出到.nss文件, 只要安装了这个工具,双击打开即可. 如果要提供自定义的报告,那么需要在测试前先规划好:

对 某些功能模块专门的做安全测试, 测试的策略是如何的,测试的用例是如何设计的,最后的测试结果又是怎样等. 不能完全依赖于这个工具, 这个工具还有很多的插件,新版本也在不断的添加测试内容. 测试报告要根据我们的测试计划来写, 明白系统的哪些地方是薄弱环节,要有针对性的测试. 例如,表单的重复提交就是一个非常容易出问题的环节.

登录有验证码的是否要将验证码去掉？

如果有验证码, 需要用万能验证码或者屏蔽验证码后才能继续.

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!