1. 首页
  2. 问答
  3. 针对网络应用的零配置,自动化,随机测试工具?

针对网络应用的零配置,自动化,随机测试工具?

2010-01-22 40 views
14

总之,我正在寻找一种工具来对Web应用程序执行自动的零配置全面攻击。针对网络应用的零配置,自动化,随机测试工具?

我在想这会在逻辑上成为一个浏览器扩展,既抓取给定域/路径上的链接,又随机地将数据输入到表单并提交它们。具体而言,表单输入将随机包含各种数据类型,特殊字符,过量数据,各种字符编码和空值。多线程是必需的(也许只有一个插件使用多个Firefox标签)。

该工具没有(也不应该)需要对结果做出任何断言,或者验证任何应用程序的行为。相反,持久层(DB记录等)和应用程序日志将用于评估此“测试工作”的结果。

这将是一个补充现有测试工具(Selenium,QuickTestPro)和可能没有100%覆盖率的方法的工具。

对现有或开发工具有何建议?如果不是,我渴望开始一个开源项目。

CLARIFICATION:我特别没有寻找渗透测试工具。

UPDATE:我创建了一个开源项目来解决这个问题。见下面的评论。

来源

2010-01-22 Dolph

+0

由于一直没有一个满意的建议,直到这一点,我已经建立了Firefox中FuzzyFox项目:http://code.google.com/p/fuzzyfox/ – Dolph 2010-02-01 21:34:55

回答

1

帕罗斯呢? http://www.parosproxy.org/functions.shtml

来源

2010-01-23 00:07:46 Toby

+0

我刚安装了Paros,并试图对我的项目。渗透测试并不是我的目标,但该工具的功能与我正在寻找的内容一致...输入行为只需要改变即可。 – Dolph 2010-01-23 06:54:28

2

我用了Acunetix一段时间的试验。这似乎是相当有效的,虽然它花了比我认为它应该更长的时间,它肯定不是开源的。

我忘记了什么是被调用的,this list at SoftwareQATest是我再次找到它的地方。该列表可能对您有用。 The list of testing tools at OWASP看起来类似得心应手。

来源

2010-01-25 12:03:14 keturn

+0

正如我在回答Toby的回答时所说的,我并不是在寻找渗透测试工具,也不希望让这个工具评估任何“结果”。“尽管我找不到与之相关的任何东西,但我还是给了你第一份清单的一个要点 – Dolph 2010-01-25 13:48:30

+0

然而,”随机输入的数据包括各种数据类型,特殊字符,过多的数据,各种字符编码和空值“正是基于网络的笔测试工具将*做的* – keturn 2010-01-25 23:30:13

+0

_”它肯定不是开源的“_哦,不,它可能有用,然后 – 2010-02-01 17:01:00

2

这听起来像一个模糊测试工具可能是你需要的;诸如Wapiti之类的工具将扫描您的应用程序以查找参数化的URL和表单来填写,并使用随机生成的数据来锻炼它们。

这是一个good list的网络应用程序模糊工具。

来源

2010-01-27 17:03:40

+0

Fuzzing绝对是我所寻找的术语,但没有一种我能找到的工具提供了我期待的基本功能,他们过于关注安全性,产生了狭义的输入,并且分析应用程序的响应我更感兴趣的是模拟一个疯狂的用户,而不是一个恶意的用户 – Dolph 2010-01-29 16:09:36

1

我不知道我经历了点儿适合该法案完全是,但蒙塔相当接近传来......

http://code.google.com/p/sulley/

我从来没有使用过它的第一手资料,但我我听说过它提到过。此外,或许检查了这一点:

http://www.owasp.org/index.php/Category:OWASP_JBroFuzz

来源

2010-02-01 16:58:21 Dave

+0

我通过keturn的答案尝试了这两种方法,但都不是很对,看起来我会将自己的解决方案作为开源的杉木efox插件在不久的将来。虽然谢谢! – Dolph 2010-02-01 21:23:05

相关问题

 相关问题