餐前小菜已经够了,上主菜吧!
在本章中你可能已经了解到,查看和操纵图形化和原始HTTP/S的能力绝对是必须的。正常的Web安全评估没有这种能力就不可能进行。幸运的是,有许多工具启用了这一功能,而且这些工具几乎都是免费的。在本章的最后一个小节,我们将介绍一些自己最喜欢的工具,你可以用它们和我们一起探索本书余下部分中介绍的例子。下面介绍的每个工具都可以在线获取,请参考本章最后的“参考与延伸阅读”。
在第10章中,可以找到一个比这里讨论的工具更全面和更高级的自动化Web应用安全扫描程序的列表。本章讨论的工具是手工监控和操纵HTTP/S的基本工具。
在这一小节我们将介绍几类HTTP分析和篡改工具:Web浏览器、浏览器扩展、HTTP代理和命令行工具。我们将从Web浏览器开始,但是要说明,这并不意味着浏览器是我们处理HTTP的首选。总体上说,我们认为浏览器扩展在HTTP分析中提供了功能性和易用性的最佳组合,但是根据场合,命令行工具可能提供更容易脚本化的功能。和大部分入侵一样,攻击者常常利用多种工具的最佳特性来完成整个工作,所以我们会尽量全面介绍,同时根据在现实世界的场景中进行的大量测试,清晰地指出我们最喜欢的工具。
【责任编辑: 云霞 TEL:(010)68476606】
|