最受欢迎的十大WEB应用安全评估系统教学教材
WEB安全性-2010_OWASP_TOP10
OWASP TOP 10-2010开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。
其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP发布了最新的Web应用脆弱性的top 10,这是继2007年OWASP对TOP10进行修订后进行的又一次更改,该版本暂定为OWASP TOP 10- 2010。
在新版本的OWASP TOP10中主要由以下变化:1. Top10的命名发生了变化。
原先的Top10全称为“The top 10 most critical web application security vulnerabilities”,即“Web应用的十大关键脆弱性”,现在Top10的全称为“The top 10 most critical web application security risks”,即“Web应用的十大关键风险”2. OWASP Top 10的风险评估方法此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。
3. 替换了2个风险此次Top 10与2007年的Top 10相比,在内容上去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理),增加了“Security misconfiguration”(错误安全配置)和“Unv alidated redirects and forwards”(未验证的重定向和传递)。
OWASP TOP10 2007 OWASP TOP10 2010A2-注入 A1-注入A1-跨站脚本(XSS) A2-跨站脚本(XSS)A7-错误的认证和会话管理 A3-错误的认证和会话管理A4-不正确的直接对象引用 A4-不正确的直接对象引用A5-伪造跨站请求(CSRF) A5-伪造跨站请求(CSRF)A6-安全性误配置A10-限制远程访问失败 A7-限制远程访问失败A8-未验证的重定向和传递A8-不安全的加密存储 A9-不安全的加密存储A9-不足的传输层保护 A10-不足的传输层保护A3-恶意文件执行A6-不安全的通讯OWASP风险评估方法OW ASP所选取的10大风险是依据OW ASP的风险评估方法,我们从标准的风险模型开始,即风险=可能性*后果,下面我们以以下步骤来说明某个风险的严重程度:第一步:识别风险识别风险作为评估的第一步,我们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能造成的后果,当然可能存在多种攻击方法和多种后果,在评估时我们往往会采用最坏选择,这样就能更客观的反应该风险的最终评级;第二步:考虑影响可能性的因素通常,我们不可能很精准的说出某个风险的可能性数值,所以我们一般用高、中、低来表示,而且影响某个风险的可能性的因素有很多,对于每个因素我们用0到9的数值来表示。
Web应用程序的安全测试方法
Web应用程序的安全测试方法随着网络技术的发展和普及,Web应用程序在我们的日常生活中扮演着越来越重要的角色。
然而,随之而来的安全威胁也越来越严重。
为了保护用户的个人数据和确保Web应用程序的可靠性,进行安全测试变得至关重要。
本文将介绍几种常用的Web应用程序安全测试方法。
一、黑盒测试黑盒测试是一种以用户的角度出发的测试方法。
测试人员在不了解内部工作原理的情况下,通过模拟用户行为来测试应用程序的安全性。
这包括尝试通过输入特定的数据来揭示潜在的漏洞,如SQL注入、跨站脚本攻击等。
此外,还可以测试应用程序的授权与认证机制,以确保只有经过授权的用户才能访问敏感信息。
二、白盒测试白盒测试是一种以开发人员的角度出发的测试方法。
测试人员有权限访问应用程序的源代码和内部结构,从而可以更深入地了解应用程序的工作机制。
通过静态代码分析和动态代码执行来检测潜在的安全漏洞,如缓冲区溢出、代码注入等。
白盒测试可以帮助开发人员及时发现并修复潜在的安全问题,提高应用程序的安全性。
三、渗透测试渗透测试是一种模拟真实攻击的测试方法。
测试人员通过模拟黑客的攻击手段来评估应用程序的安全性。
这包括对应用程序的外部漏洞进行扫描和利用,如端口扫描、暴力破解等。
此外,还可以测试应用程序对DDoS攻击和恶意软件的防护能力。
渗透测试可以全面评估应用程序的安全性,并提供有针对性的改进建议。
四、安全编码规范安全编码规范是一种预防安全漏洞的方法。
通过遵循安全编码规范,开发人员可以在编程过程中避免常见的安全问题,减少潜在的漏洞。
这包括避免使用已知的不安全函数、正确处理输入数据、限制用户输入等。
安全编码规范的实施可以大幅提高应用程序的安全性,减少安全风险。
五、持续监控与漏洞修复持续监控与漏洞修复是一种保持应用程序安全的方法。
通过实时监控应用程序的日志和网络流量,及时发现并响应安全事件。
此外,及时修复已知的安全漏洞,更新应用程序的安全补丁,以保持应用程序的安全性。
等保安全评估工具
等保安全评估工具
1. Nessus:一款广泛使用的网络扫描工具,可以对网络进行漏
洞扫描和安全评估。
2. OpenVAS:一个开源的漏洞扫描器和安全评估工具,可以
检测网络中的主机和应用程序的漏洞。
3. Nmap:一款网络映射和端口扫描工具,可以快速检测和评
估目标网络的安全状况。
4. Wireshark:一个网络协议分析工具,可以捕获和分析网络
数据包,帮助发现潜在的安全漏洞。
5. Burp Suite:一款用于应用程序安全测试和评估的集成工具,包括代理、漏洞扫描和攻击功能。
6. Metasploit:一款开源的渗透测试工具,包含多个漏洞利用
模块,用于评估系统和应用程序的安全性。
7. QualysGuard:一个云端的综合性安全评估工具,包括漏洞
扫描、弱口令检查、合规性检查等功能。
8. Acunetix:一款针对Web应用程序的安全评估工具,可以
发现潜在的漏洞和安全风险。
9. Nikto:一款用于Web服务器和应用程序的安全评估工具,
可以快速扫描并发现潜在的安全漏洞。
10. Nexpose:一款综合性的漏洞扫描和管理工具,可以对网络和系统进行全面的安全评估。
这些工具可以用于进行等保安全评估,帮助企业发现和修复网络和系统中的安全漏洞,提升安全性的等保水平。
常见的Web应用安全测试技术
常见的Web应用安全测试技术Web应用安全测试是指通过对Web应用程序进行测试和评估,发现并修复潜在的安全漏洞和弱点,以保护Web应用程序免受各种安全威胁的技术。
在当今数字化时代,Web应用程序成为企业重要的业务支撑和用户交互平台,但同时也面临着日益增长的安全风险。
因此,进行常见的Web应用安全测试对于保护企业和用户的利益至关重要。
本文将介绍一些常见的Web应用安全测试技术,包括黑盒测试、白盒测试、灰盒测试、漏洞扫描和渗透测试等。
一、黑盒测试黑盒测试是一种不考虑应用程序内部结构和实现细节的测试方法。
测试人员只关注应用程序的输入和输出,从用户角度出发,模拟攻击者的行为进行测试。
黑盒测试可以发现一些常见的安全问题,如跨站脚本漏洞(XSS)、跨站请求伪造(CSRF)和SQL注入漏洞等。
为了进行黑盒测试,测试人员首先需要对Web应用程序的功能和交互过程有一定的了解。
然后,测试人员通过使用各种测试工具和技术模拟恶意用户的攻击行为,例如尝试输入特殊字符、异常输入、无效输入等,来测试应用程序的安全性。
二、白盒测试白盒测试是一种基于应用程序内部结构和实现细节的测试方法。
测试人员可以访问应用程序的源代码、配置文件和数据库等信息,以深入了解和评估应用程序的安全性。
白盒测试可以发现一些潜在的安全漏洞,如逻辑漏洞、代码注入和权限绕过等。
对于白盒测试,测试人员需要具备相关的开发技能和经验,能够理解和分析代码的逻辑结构和设计原则。
通过代码审计、安全架构评估和安全测试工具的使用,测试人员可以发现并修复一些潜在的安全问题。
三、灰盒测试灰盒测试是黑盒测试和白盒测试的结合,测试人员部分了解应用程序的内部结构和实现细节。
灰盒测试可以提高测试覆盖率和发现潜在的安全问题。
在进行灰盒测试时,测试人员可以使用一些代码分析工具来分析应用程序的源代码,并进行相关的安全测试。
灰盒测试可以更加全面地评估应用程序的安全性,同时也能够发现一些黑盒测试难以发现的安全问题。
十大web安全扫描工具
十大web安全扫描工具扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。
我们在此推荐10大Web漏洞扫描程序,供您参考。
1. Nikto这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。
其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。
Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。
不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。
不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。
有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。
这些项目通常都可以恰当地标记出来。
为我们省去不少麻烦。
2. Paros proxy这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。
它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。
它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。
3. WebScarab它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。
如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。
不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
Web安全技术》课程教学大纲
Web安全技术》课程教学大纲Web安全技术是网络工程专业的一门重要专业课,也是网络工程专业网络安全方向的重要技术课程。
本课程旨在让学生了解Web安全的发展历程、安全攻击原理和技术以及安全防控基本技能,从而基本掌握Web前端开发、Web应用和管理等基本技能。
课程内容分为世界观安全、客户端脚本安全和服务器端应用安全三部分。
本课程的教学目标是通过引导学生对Web安全重要性的深度理解,逐步提升学生的Web前端开发、Web应用和管理等基本技能,培养能够从事网络工程设计与规划、网络系统运维管理、网络安全防控管理等网络安全工作的应用型人才。
课程的理论教学学时共24个学时,实验课学时为12个学时,其中行业企业专家授课学时为6个学时。
课程内容包括浏览器安全、跨站脚本攻击、跨站点请求伪造、点击劫持、Html5安全、注入攻击、文件上传漏洞和web框架安全等。
教学方法主要采用启发式讲授法、多媒体授课和案例讨论等方式。
本课程主要采用讲授法、多媒体授课和案例讨论的教学方式。
在理论学时中,包括讨论、题课等学时。
Web安全技术》课程实验内容设置与教学要求一览表如下:序号实验项目名称实验内容教学要求学时实验类别类型人数1 IE浏览器的临时文件和历史记录清理、脚本设置和IE 浏览器的安全设置 cookies权限设置、信息限制、禁用多余插件、打开弹出窗口阻止程序等掌握Cookie、ActiveX、Java等技术的安全问题和IE浏览器的漏洞所带来的安全问题;掌握针对上述问题应采取的防范措施。
3 必做综合型 22 SQL注入获取后台用户名;构造SQL注入点的方法;寻找SQL注入点;SQL注入破解管掌握从寻找注入点到注入攻击完成的整个过程。
3 必做验证型 23 SQL注入攻击管理员账号;搜索隐藏的管理登录页面了解跨站脚本基本攻击原理,掌握跨站脚本的检查方法以及跨站脚本的利用。
3 必做验证型 24 跨站脚本攻击(xss)跨站脚本的检测和利用了解跨站脚本基本攻击原理,掌握跨站脚本的检查方法以及跨站脚本的利用。
web站点安全风险评估
web站点安全风险评估
网站安全风险评估是指对网站的潜在安全威胁进行识别、评估和管理的过程。
以下是一些常见的网站安全风险评估要点:
1. 潜在漏洞:评估网站是否存在常见的漏洞,例如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。
检查网
站程序的代码、数据库和配置文件,以识别潜在的漏洞。
2. 认证和授权:评估网站的用户认证和授权机制是否安全可靠。
检查密码策略、会话管理、用户权限控制等方面,查看是否存在弱点。
3. 网络安全:评估网站的网络安全措施,包括网络防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等。
检查网络设
备和配置,以确定是否存在网络攻击风险。
4. 数据保护:评估网站的数据保护措施,包括数据加密、备份和恢复机制。
检查数据传输和存储过程中是否存在安全漏洞。
5. 内部威胁:评估网站的内部威胁,包括恶意员工、合作伙伴或供应商等。
检查内部访问控制、员工培训和监控机制,以防止内部人员滥用权限或故意泄露数据。
6. 网络应用程序安全:评估网站的应用程序安全措施,包括输入验证、输出编码、错误处理等。
检查网站的应用程序代码,以识别潜在的安全问题。
7. 第三方服务:评估网站使用的第三方服务的安全性。
检查第三方服务提供商的安全措施,以确保其不会对网站的安全造成威胁。
评估完成后,需要制定相应的安全措施来降低或消除潜在的安全风险。
这包括修复漏洞、加强认证和授权、更新网络安全设备、加强数据保护、建立内部监控机制等。
同时,还需要定期进行安全风险评估,以确保网站的安全性。
WEB应用系统安全规范文档
WEB应用系统安全规范目录WEB应用系统安全规范................................................. 错误!未定义书签。
1概述............................................................ 错误!未定义书签。
目的 .................................................................... 错误!未定义书签。
适用范围 ................................................................ 错误!未定义书签。
2范围............................................................ 错误!未定义书签。
3名词解释........................................................ 错误!未定义书签。
4WEB开发安全规范................................................. 错误!未定义书签。
W EB应用程序体系结构和安全................................................ 错误!未定义书签。
W EB安全编码规范.......................................................... 错误!未定义书签。
区分公共区域和受限区域......................................... 错误!未定义书签。
对身份验证 cookie 的内容进行加密............................... 错误!未定义书签。
限制会话寿命 .................................................. 错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最受欢迎的十大WEB应用安全评估系统在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。
当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明:1.IBM Rational AppScanIBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。
Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。
游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。
2.HP WebInspect目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。
HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。
它可以识别很多传统扫描程序检测不到的安全漏洞。
利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。
主要功能:·利用创新的评估技术检查Web 服务及Web 应用程序的安全·自动执行Web 应用程序安全测试和评估·在整个生命周期中执行应用程序安全测试和协作·通过最先进的用户界面轻松运行交互式扫描·满足法律和规章符合性要求·利用高级工具(HP Security Toolkit)执行渗透测试·配置以支持任何Web 应用程序环境游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。
3.Acunetix Web Vulnerability ScannerAcunetix Web Vulnerability Scanner是一款自动的Web应用安全性测试工具,它能够通过发现Web应用的Hacking弱点来监测你的网站。
自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。
大约有70%的网站存在安全隐患,这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。
对web应用hacking来说,防火墙,SSL和锁定的服务器几乎是无用的。
从80/443端口发起的针对web application的攻击,能够直接穿过防火墙,越过操作系统和网络级的安全措施,到达您的应用的心脏和企业数据。
模块类的web应用通常都没用作足够的测试,有隐藏的弱点,及易受到攻击。
Acunetix具有领先的web应用安全扫描技术:我们的工程师从1997年开始就专注于网站分析和弱点侦测。
Acunetix Web Vulnerability Scanner包括许多开创性的功能:·自动的Javascript分析器可以测试Ajax和Web2.0的应用,·行业内最先进,最深入的SQL注入和跨站点脚本测试,·Visual macro recorder使Web form和密码保护区域测试更容易,·扩展的报表工具包括VISA PCI compliance报表,·多线程和快速扫描工具能够轻松检验成千上万的页面,·智能的Crawler能够探测Web服务器的种类和应用的编程语言,·Acunetix 可以探测和分析网站上的Flash内容,SOAP和AJAX。
4.绿盟极光远程安全评估系统-Web应用扫描绿盟远程安全评估系统Web应用扫描增强模块,是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶,是专门面向Web 应用安全管理员进行专业安全评估及检测的自动化工具。
可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议,以及形成多种符合法规、行业标准的报告。
5.安恒信息MatriXay明鉴WEB应用弱点扫描器明鉴WEB应用弱点扫描器(简称:MatriXay 3.6)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运WEB安全保障中发挥了重要的作用。
与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。
因此,被评价为“最佳的WEB安全评估工具”。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心运营商安全Web 和数据库安全检查工具,MatriXay 3.6 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。
同时,安恒信息拥有国内领先的WEB在线扫描平台,详情参照:6.安域领创WebRavor新一代应用安全扫描工具WebRavor,全面超越现有的此类工具,是目前世界上最好的商业级安全产品,被客户评价为“技术和艺术的完美结晶”,并且已经取得多项专利保护(200920105886.0/200910078545.3)。
安域领创的安全服务团队具有丰富的实施和规划经验,从2001年开始就参与规划和实施多种类型的安全咨询和服务项目,遍及政府、金融、电信、移动、联通等国内各大行业客户。
WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上,由国内顶尖团队开发的一款WEB应用安全评估产品。
研发及测试时间历经4年,经过10万多个真实系统的测试,是目前业界最强悍的专注于WEB应用安全弱点的评估工具。
WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后,被评价为“最佳的WEB安全评估工具”。
游侠标注:WebRavor的作者是中国第一代黑客的代表人物,写“流光”的作者“小榕”。
请参考游侠写的:7.诺赛科技Jsky/PangolinJSky Web应用安全漏洞扫描系统是一款简明易用的自动化Web漏洞扫描与漏洞利用平台。
帮你发现并解决现有Web系统中存在的安全隐患;杜绝黑客攻击;保护企业核心资产。
诺赛科技为您提供专业且全面的安全解决方案。
JSky作为自动化的Web应用漏洞扫描软件模拟“攻击者”给你全方位的视角和完善的建议。
让你对入侵者的操作一目了然,从而制定有针对性的防护方案。
JSky不只是告诉您这里有漏洞,同时也能通过实际操作告诉您这种漏洞会导致什么样的后果:企业会否由于该漏洞发生数据泄漏?数据丢失?网站挂马?无论您后台数据库是MSSQL、MYSQL、Oracle抑或是大型的Sybase、Informix、DB2系统,我们都能通过简单的操作进行深入的渗透测试。
包括读系统敏感文件、写文件、读取数据库信息、执行系统命令、权限提升、上传木马后门等等一系列的操作。
向导式的操作,能让您瞬间成为Web应用安全专家。
游侠标注:诺赛科技有大牛zwell的支撑,同时有Pangolin穿山甲SQL注入评估软件、iiScan在线WEB安全评估平台,也是非常有实力的公司。
其iiScan在线WEB安全评估平台请见:8.知道创宇“知道网站安全体检中心”知道创宇成立于2007年,是中国唯一微软全球安全服务提供商。
知道创宇专注于WEB 安全,致力于提供产品、技术、服务来改善日益恶化的中国互联网安全环境。
知道网站安全体检中心(在线WEB安全评估系统):·网站内容监控:出现敏感关键字立刻通知您!·免费挂马监控:第一时间向您发出挂马警告!·网站安全检测:SQL注入、XSS跨站漏洞检测!·谷歌屏蔽通知:发现网站被谷歌屏蔽向您发出报警!·ICP 备案检测:对网站备案的完整性进行检验!9.智恒联盟WebPecker网站整体威胁检测系统“网站啄木鸟”是北京智恒联盟科技有限公司技术研究团队多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。
该系统是目前国内最早的一款商业化Web安全检查系统,通过本地检测技术与远程检测技术相结合,对网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,使得相比国内外同类产品智能化程度高,速度快,误报率极低。
经过数百个用户的实践证明,“网站啄木鸟”是Web安全性价比最高的产品,相比国外的Web安全扫描产品来说,速度快,具备紧密跟踪国内最新网页木马的快速响应及更新能力;相比国内的Web安全扫描产品来说,功能多,结果准,该系统是我国等级保护测评以及网站安全保密检查必备软件系统。
10. Syhunt SandcatSandcat是一款远程网络应用程序安全评估扫描器。
它允许你以黑客的视角扫描最常见的网络应用程序缺陷。
Sandcat在远程分析WEB应用程序存在的问题,包括但不仅限于:如:SQL注入、XSS等。
SandCat有Free版和Pro版,前者可以免费下载。