扫描工具、中间攻击工具、加密解密工具等。

1 TM

Thread Module

2 burpsuite

代理、中间攻击、repeatur、spider、暴力破解(intrude)、加密、解密、扫描器

3 peach

Fuzzing测试,API Fuzzing测试和协议Fuzzing测试。

4 DVWA

php写的漏洞学习的工具,可以运行起来测试.

安装教程:

1 直接下载WampServer,免去了需要安装apache/php/mysql的服务器软件的痛苦,一体集成,相当于安装了httpd、PHP、MySQL、php-mysql等应用或组件。

2 下载DVWA(http://www.dvwa.co.uk/)

3 要确保可以进入http://localhost/phpmyadmin或连接上MySQL数据库(正常情况都可以,如果不行,说明是二者密码不一致,只要设置相同密码就行了,默认密码为空)

4 解压缩DVWA安装包到www目录下,wampserver安装完会有www目录

5 在地址栏输入 http://localhost/DVWA-1.9/setup.php(DVWA-1.9为解压缩文件夹名,注意大小写)

6 进入setup界面,点击“Create/Reset Database”按钮时如果出现“Could not connect to the database - please check the config file.”的错误信息,那么请打开DVWA-1.0.8/config/config.inc.php文件,将下面这段内容$_DVWA[ 'db_password' ] = 'p@ssw0rd';中的密码部分替换成在步骤2中设置的MySQL root用户的密码(此处为空,直接把'p@ssw0rd'改为''就行了,即密码为空),再重新创建数据库即可。

7 进入链接 http://localhost/DVWA-1.9/login.php,默认的用户名和密码为“admin/password”,进入后将DVWA的安全等级修改为中或者低,只要不是高就行

8 大功告成!渗透试验开始吧,开始你的安全之路吧!

安装过程中的截图如下:

(1)WampServer的安装图片

(2 ) 安装WampServer成功后,浏览器输入127.0.0.1,端口默认80

点击phpmyadmin进入页面。

(3)进入phpmyadmin页面,可以看到后台的数据库等信息。

用户名为root,密码为空。

(4)进入dvwa-1.9目录进行安装mysql数据库。

从DVWA官网下载dvwa安装包,下载地址为http://www.dvwa.co.uk/。

将安装包解压缩放到C:/wamp/www目录。

(5)修改config.inc.php的数据库password后,即可点击create/reset database。

(6)输入密码admin/password后进入主页面。可以看到N多常见漏洞。

5 hdwiki

  一个简单网站,也存在一些漏洞,供大家学习。

6 扫描工具集

6.1 APPscan

web扫描,SQL注入、XSS(反射型、持久型)、CSRF、XML注入、

6.2 AWVS

跟appScan一样

6.3 Nmap(Network Mapper)

用来进行配置加固,nmap是一个网络连接端扫描软件,扫描网络开放端口、操作系统类型、主机是否在线。

http://wenku.baidu.com/link?url=Q9cKUlB347--__gF0WJGKzQVfEUYAfO5uT7__BHEYs7123qtrz4nmRZxjqpL-_rFYFvoaXX3WpXR44iA0FQcpM6hxRlT5H114KOCxz1I46i

6.4 SecureCAT

6.5 Retina

6.6 Nessus

系统漏洞扫描ret与分析软件,远端系统安全扫描程序。

采用客户端、服务器结构。

扫描结果包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别

6.7 NGS

a de ma web security

http://www.nxadmin.com/tools/675.html

黑客攻防技术宝典Web实战篇(二)工具篇的更多相关文章

  1. 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序

    读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...

  2. 黑客攻防技术宝典web实战篇:核心防御机制习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...

  3. 黑客攻防技术宝典Web实战篇(二)工具篇DVWA Web漏洞学习

    DVWA是一个学习Web漏洞的很好的工具. DVWA全程是Damn Vulnerable Web Application,还有一个跟它一样好的工具尽在http://www.360doc.com/con ...

  4. 黑客攻防技术宝典Web实战篇(三)web攻击方式总结

    web攻击的手段无非就是使服务器资源耗尽,使服务器无法接收正常请求. 一.DDos攻击 二.DRDos攻击 三.慢攻击 与Ddos攻击相反,慢攻击并不是以多取胜,而是靠保持连接.

  5. 黑客攻防技术宝典Web实战篇(一)Web应用程序技术基础

    在开展Web应用程序渗透测试之前请先了解下面列出的这些内容,如果不是很懂的话,请读David Gourley & Brian Totty的HTTP权威指南也叫HTTP:The Definiti ...

  6. 黑客攻防技术宝典web实战篇:攻击应用程序架构习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器.已经发现一 ...

  7. 黑客攻防技术宝典web实战篇:攻击其他用户习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 在应用程序的行为中,有什么“明显特征”可用于确定大多数 XSS 漏洞? 用户提交的输入在应 ...

  8. 黑客攻防技术宝典web实战篇:解析应用程序习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 当解析一个应用程序时,会遇到以下 URL:https://wahh-app.com/Coo ...

  9. 黑客攻防技术宝典web实战篇:工具web服务器习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 在什么情况下 Web 服务器会显示目录列表? 如果请求某目录的 URL 且满足以下条件,W ...

随机推荐

  1. Shell变量的定义与赋值操作注意事项

    1 shell变量是弱类型 * 声明变量不用声明类型 * 可以存储不同类型的内容 * 使用时要明确变量的类型 * 区分大小写 2 变量声明及赋值格式 2.1 格式  变量名=变量值 # 注意等号两侧不 ...

  2. editGrid自定义列自定义F7

    添加自定义列,配置控制自定义F7 自定义F7的地址为连接界面的url /dynamicPage.do?event=initialize&method=doEvent&uipk=com. ...

  3. StringBuilder类与String类的区别

    String对象是不可改变的,每次使用String类中的方法时,都要在内存中创建一个新的字符串对象,这就需要为该新对象分配新的空间.在需要对字符串执行重复修改的情况下,与创建新的String对象相关的 ...

  4. 帝国cms制作手机网站

    1.操作前,我们需要先对网站数据库进行备份. 接下来我们添加手机站的模板组.点击"模板", 选择"模板组管理"中的"导入/导出模板组",然后 ...

  5. iOS - 全屏滑动

    取经地址 1.使用关联 关联是指把两个对象相互关联起来,使得其中的一个对象作为另一个对象的一部分. 使用关联,是基于关键字的,因此,我们可以为任意对象增加任意多的关联,但是关键字是唯一的.关联可以保证 ...

  6. 【项目】iOS - 使用UIWebView占用内存过大

    通过其他博主介绍的解决这个问题的博客: http://blog.techno-barje.fr//post/2010/10/04/UIWebView-secrets-part1-memory-leak ...

  7. api get

    http://ibi.imim.es/befree/ http://disgenet.org/ http://rest.ensembl.org/ { "variantSetId": ...

  8. 使用Java中的动态代理实现数据库连接池

    2002 年 12 月 05 日 作者通过使用JAVA中的动态代理实现数据库连接池,使使用者可以以普通的jdbc连接的使用习惯来使用连接池. 数据库连接池在编写应用服务是经常需要用到的模块,太过频繁的 ...

  9. javascript之简单的选择排序法

    基本思想: 比对数组中元素,相等者输出元素在数组的下标,否则就输出没找到! 代码如下: function Orderseach(array,findVal){ var temp = false; // ...

  10. 遍历jsonobject

    遍历jsonobject 1 entrySet.iterator生成迭代器 2 从迭代器获取Map.Entry的单元对象 3 获取key和value Map<String,JSONObject& ...