04-11 常见接口安全测试工具

537 阅读1分钟
  • OWASP ZAP
  • WVS
  • AppScan
  • BurpSuite
  • Sqlmap

安全测试关注维度

传输:

  • 敏感信息传递加密
  • 链路加密

接口:

  • 访问控制

参数:

  • 注入:SQL注入、命令注入、文件注入
  • 越权:越过更高权限、越过同级权限

建立安全测试流程

白盒代码分析:自动化

  • sonar、findbugs 等

黑河扫描机制:自动化

  • zap、wvs、burpsuite、appscan、SQLmap

业务流程安全探索:人工测试

  • buipsuite、ZAP