安全掃描工具 Netsparker

Netsparker是一款web應用安全漏洞掃描工具

Netsparter官網：https://www.netsparker.com/web-vulnerability-scanner/，與其餘安全掃描工具相比更好檢測SQL注入和跨站腳本攻擊類型的安全漏洞。

1. 打開工具，點擊start a new scan，選擇full scan（所有掃描），單擊開始

2. 在登陸下進行掃描

3. 等待掃描結果，並分析

 

常見問題分析

1. Cross-site Scripting 跨站腳本
2. Password Transmitted over HTTP 經過HTTP傳輸密碼
3. Version Disclosure (Java Servlet) 版本信息披露

推薦資料

網站：http://www.wooyun.org/ 書籍：白帽子講Web安全

測試中遇到的問題

1. 登陸操做掃描，在第三步playback處出錯沒法再進行下去？

　　第一個URL是登陸界面的URL, 第二個URL是這個被測網站的URL, 能夠打開幫助文檔看到這個截圖,類推:

2. Netsparker可否生成報告，沒有的話安全報告怎麼出？截圖？

窗口Reporting--》Comperrision Report---》保存文件爲html或者pdf格式的---》在跳出的窗口中選擇open

這個工具的測試報告是以問題列表形式提供的, 能夠直接導出到.nss文件, 只要安裝了這個工具,雙擊打開便可. 若是要提供自定義的報告,那麼須要在測試前先規劃好: 
對 某些功能模塊專門的作安全測試, 測試的策略是如何的,測試的用例是如何設計的,最後的測試結果又是怎樣等. 不能徹底依賴於這個工具, 這個工具還有不少的插件,新版本也在不斷的添加測試內容. 測試報告要根據咱們的測試計劃來寫, 明白系統的哪些地方是薄弱環節,要有針對性的測試. 例如,表單的重複提交就是一個很是容易出問題的環節.

3. 登陸有驗證碼的是否要將驗證碼去掉？

若是有驗證碼, 須要用萬能驗證碼或者屏蔽驗證碼後才能繼續.