昔日

一些安全资源学习列表

暗影思维- 关注安全:

工作任务1:搜索类似演示网站


示例网站:http://code.google.com/p/websecurify/wiki/DemoSites


 

Details

 


The following websites may be used to compare Websecurify with other automated web application security testing tools:



演示网站:


 


 


 


 


手工的辅助工具


 


Google 检索到一份整理好的渗透测试学习资源列表


by http://www.pulog.org/Resources/2242/Pentesting-Vulnerable/


Web Pentesting


 


 


 


War Games


 


 


 


Insecure Distributions


 

(二)XSS自动化扫描器系统原理

1.Google到一个关于xss的扫描器,sourceforge的xsser,以下是它的简介:


Cross Site “Scripter” is an automatic -framework- to detect, exploit and report XSS vulnerabilities in web-based applications.


大概就是说它是个自动扫描利用漏洞并且报告之的东东,和我要找的符合。


下载地址:http://sourceforge.net/projects/xsser/files/latest/download


源码checkout地址:svn://svn.code.sf.net/p/xsser/code


这个是XSSer的用法:http://blog.csdn.net/xihuanqiqi/article/details/8072323


2.Google把自己的内部审计XSS的工具开源了 ratproxy


Google 推出一套免費的 Web 安全評估工具,叫做 RatProxy,這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵,目前可支援 Linux, FreeBSD, MacOS X, 與 Windows (Cygwin) 等執行環境(反正就是 Unix-like 的環境啦)。
RatProxy 可偵測到的漏洞包括 Cross-site Scripting (XSS, 跨網站指令碼)、指令碼惡意置入(script inclusion issues), 惡意網頁內容(content serving problems), insufficient XSRF 以及 XSS 防護(XSS defenses) 等。


ratproxy地址:http://code.google.com/p/ratproxy/#ratproxy


 


以下是Google到的Ratproxy用法:


Ratproxy 工作流程:



  • 1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ;


  • 2) 浏览器设置这个地址 ([url]http://localhost:8080[/url])为 代理地址 ;


  • 3) 浏览要测试的 Web 页面,进行实际登录,填写表单等操作(这些动作会被代理服务器捕捉并做点”手脚”发给待检测的页面),ratproxy 会在后台记录相关的 Log ;


  • 4) 用 ratproxy 提供的工具解析 Log 并输出 <acronym title=”HyperText” markup=”” language “=”” style=”padding: 0px; margin: 0px; “>HTML 进行分析;


  • 5) 修正比较严重的问题后,跳回到第一步,直到评估通过为止。



在我的 Ubuntu 下测试了一下,需要说一下的是,本地系统需要安装 libssl-dev 与 openssl 。
$ sudo apt-get install libssl-dev openssl
$ cd ratproxy ; make


然后就可以提交类似:


$ ./ratproxy -v . -w foo.log -d foo.com -lfscm


3.Google到 XSSDetect 是一款微软公司为开发人员提供针对跨站脚本攻击的静态分析工具


XSSDetect是精简版的.NET代码分析工具,原本供微软内部人员寻找应用软件的安全漏洞之用,大概是受开源思想影响,现在已经可以免费下载了。


下载地址:http://tel1.hackol.com/2010/hackol.com-4910-XSSDetectSetup.rar


下完就能傻瓜化安装了


这是XSSDetect的用法:


Sample Usage



  1. Launch Visual Studio


  2. Open a solution containing at least on C#, J# or VB.NET project


  3. Build the solution


  4. Click on Tools | XSSDetect Code Analysis, the Summary View dockable tool window activates


  5. Verify/edit the current settings (click on General Settings, Rules or Target Assemblies on the toolbar of the Summary View)


  6. Start the code analysis (use the Analyze button on the toolbar)


  7. After the analysis is complete, the Summary View tool window shows the results, and the output window shows information and error messages


  8. Double click on a result item in the Summary View to activate the Detail View


  9. In the Detail View, double click on a dataflow item to display the corresponding source line


  10. Use the “Previous” and “Next” buttons in the Detail View to display other result items



看到这个Launch Visual Studio就知道这个要用VS啦,挺麻烦的说。。。


看了下资料,发现这个XSSer的资料多一些,还是中文版的,就研究它了。

(三)研究XSSer系统运行原理

1.先在虚拟机上安装好相关软件如Ihttp://xsser.sourceforge.net/所说的:


InstallationXSSer runs on many platforms. It requires Python and the following libraries:– python-pycurl – Python bindings to libcurl
– python-beautifulsoup – error-tolerant HTML parser for Python
– python-libxml2 – Python bindings for the GNOME XML library
– python-geoip – Python bindings for the GeoIP IP-to-country resolver libraryOn Debian-based systems (ex: Ubuntu), run:sudo apt-get install python-pycurl python-beautifulsoup python-libxml2 python-geoip



评论

热度(2)

  1. 昔日暗影思维- 关注安全 转载了此文字