【51CTO.com 獨家譯稿】如果你以一位安全問題分析師的角度，已經(jīng)花費了不少時間來尋求網(wǎng)頁應用程序的安全保障方案，或者是以開發(fā)者的身份來探討SDLC的實踐應用，那么你很可能會對OWASP的十大工具感興趣，進而在今后面對問題的時候用到它們的功能。首先十大工具存在的目的是作為一種應對機制，其內(nèi)容涵蓋了由一個應用程序方面的眾多安全專家所組成的全球性聯(lián)盟所達成的共識性目標，即處理最關(guān)鍵的網(wǎng)頁應用程序安全漏洞。我們即將介紹的這十大OWASP安全管理工具，除了能夠為用戶的應用程序進行風險項目管理及相關(guān)的實用培訓之外，還包含了有關(guān)應用程序測試及相關(guān)問題修復的內(nèi)容。目前對于應用程序安全管理的從業(yè)者及開發(fā)者來說，在管理這一類軟件的使用風險中，具備合適的工具包是非常有必要的。

正因為WhiteHat Security對這十大安全工具的卓越貢獻，我順理成章地從他們推出的第十一版網(wǎng)頁安全現(xiàn)狀統(tǒng)計報告中援引了一些關(guān)鍵性的內(nèi)容。

首先，"資料外泄"在安全問題的成因中所占的比例高達四分之一甚至三分之一。在該報告中，資料外泄的概念被定義為"內(nèi)容涵蓋廣泛，用以描述在某個網(wǎng)站上經(jīng)由安全漏洞而導致的敏感數(shù)據(jù)暴露，例如頁面應用程序的技術(shù)細節(jié)、運行環(huán)境或是用戶的個人信息。"你將會看到在對OWASP十大安全工具進行考量時，如何在實例中通過資料外泄現(xiàn)象將軟件漏洞的所在定位出來。

其次，WhiteHat安全報告所涉及的各項經(jīng)驗教訓值得被一提再提，加以重視，因為它們完全符合我們在本文中要討論的議題。

第一課：

軟件總會有編碼錯誤，而該錯誤被利用之后就產(chǎn)生了安全漏洞。因此，考慮到一套既具備時效性又必須安全可靠的軟件的開發(fā)周期（簡稱SDLC）不能太長，我們的應對態(tài)度應該是盡量減少安全漏洞的數(shù)量及降低不進行修復所導致的后果的嚴重程度，而不一定要徹底將其消除。

第二課：

僅僅一個單獨的網(wǎng)站安全漏洞被惡意利用，就足以對整個正常的網(wǎng)上業(yè)務造成極大的干擾，例如導致數(shù)據(jù)丟失、動搖網(wǎng)站用戶的使用信心等等。因此，這些漏洞被發(fā)現(xiàn)的越早，惡意攻擊者可資利用的時間就越短，其攻擊成功的機率自然也就大大降低了。

如此一來，結(jié)論其實非常簡單：盡量減少并及時修復網(wǎng)頁應用程序的漏洞將大大降低網(wǎng)站被攻擊的次數(shù)，并改善安全狀況。我們應該立即著手實施，對不對？答案是否定的，這種結(jié)論已經(jīng)過時，"安全保障處理方案"現(xiàn)在可以說只是種古董級的陳詞濫調(diào)。如果每個人都致力于達成前面所提到的"降低風險及修復漏洞"工作，我們可能已經(jīng)沒必要再討論什么十大熱門安全工具或者是研究第十二版的網(wǎng)頁安全狀況統(tǒng)計報告（比目前最新的再新一版）。但是注意，我們還是得做點富有實效的獨特工作，沒錯吧？

Gifford Pinchot曾經(jīng)說過："不要對一場比賽的結(jié)果進行下注，除非你親身參與到這場比賽中去。"

因為提出解決方案永遠比不住地抱怨更有效，讓我們將目光轉(zhuǎn)向評測，深入探討今天文章的主角--十大熱門安全工具--是如何評選得出，以及怎樣在實際應用中利用其功能幫助我們解決問題。首先請看下列概述。

OWASP十大頁面應用程序安全風險（所有信息根據(jù)2010年的應用情況歸納得出）如下：

第一位: 注入式攻擊 注入類漏洞

例如SQL，OS以及LDAP注入，發(fā)生在不受信任的數(shù)據(jù)作為一條指令或是查詢要求的一部分被發(fā)往解釋程序之時。攻擊者所植入的惡意數(shù)據(jù)可以騙過解釋程序，導致該指令或查詢要求在無意中被執(zhí)行。

第二位: 跨站點腳本(簡稱XSS)

每當一個應用程序攜帶了不受信任的數(shù)據(jù)并將其發(fā)送至頁面瀏覽器，而又未經(jīng)過相關(guān)驗證及轉(zhuǎn)換解析時，XSS類漏洞就會蠢蠢欲動。XSS允許攻擊者在受害者的瀏覽器中執(zhí)行腳本，這會導致用戶的會話遭受劫持、網(wǎng)站受到破壞或者是將用戶的訪問目標重新定向至某些惡意網(wǎng)站。

第三位:無效的認證及會話管理功能

應用程序的相關(guān)認證及會話管理功能在執(zhí)行過程中常常發(fā)生各種問題，導致攻擊者有可能獲取到密碼、密鑰、會話授權(quán)或是通過利用其它執(zhí)行性漏洞來盜取用戶身份。

第四位: 對不安全對象的直接引用

當一位開發(fā)者公開了某種對內(nèi)部執(zhí)行對象的引用，例如一個文檔、索引系統(tǒng)或是數(shù)據(jù)庫關(guān)鍵信息時，這種不利情況就有可能發(fā)生。由于缺乏訪問控制檢查或其它安全保護措施，攻擊者們能夠利用這些引用信息對那些未獲授權(quán)的數(shù)據(jù)進行訪問。

第五位: 偽造的跨站點請求 (簡稱CSRF)

CSRF類攻擊的特點是，強迫受害者的某個已進行登錄操作的瀏覽器向安全保護薄弱的頁面應用程序發(fā)送一條偽造的HTTP請求，包括受害者會話緩存內(nèi)容及其它任何自動產(chǎn)生的包含認證信息的內(nèi)容。這就導致了攻擊者可以通過強制受害者瀏覽器向具有漏洞的應用程序傳遞請求的方式，使相關(guān)的應用程序認定該請求是受害者本人所發(fā)出的合理請求。

第六位: 安全設置錯誤

好的安全保障體系需要一套經(jīng)過精心定義及部署的設置方案，其對象包括應用程序、系統(tǒng)框架、應用程序服務、頁面服務、數(shù)據(jù)庫服務以及運行平臺等。上述這些設定應該被精確地定義、執(zhí)行和保存，然而事實上大多數(shù)情況下，用戶會直接使用安全保障系統(tǒng)的默認設置，而其中有許多項目并未被正確配置，包括全部軟件的及時更新以及應用程序所要調(diào)用的全部代碼庫。

第七位: 加密存儲方面的不安全因素

許多頁面應用程序并未利用適當?shù)募用芑蛏⒘惺侄蝸硗咨票Ｗo好那些敏感內(nèi)容，例如信用卡信息、社?？ㄐ畔⒁约吧矸蒡炞C信息等。攻擊者們可以竊取或修改這些保護不力的數(shù)據(jù)以對受害者進行身份盜用、信用卡詐騙或其它犯罪行為。

第八位: 不限制訪問者的URL

許多頁面應用程序在轉(zhuǎn)向那些受保護的鏈接及按鈕之前，都會對訪問者的URL進行檢查。然而，應用程序其實需要在每一次接收到頁面訪問請求時，都進行一次這樣的檢查，否則攻擊者們將可以通過偽造URL的方式隨意訪問這類隱藏的頁面。

第九位: 傳輸層面的保護力度不足

應用程序常常無法實現(xiàn)驗證、加密以及保護機密及敏感的網(wǎng)絡通信內(nèi)容的完整性等功能。當這種情況發(fā)生時，應用程序有時會選擇支持那些低強度的加密算法、使用過期的或者無效的驗證信息，或者是無法正確應用這些安全保障功能。

第十位: 未經(jīng)驗證的重新指向及轉(zhuǎn)發(fā)

頁面應用程序經(jīng)常將使用者的訪問請求重新指向或轉(zhuǎn)發(fā)至其它網(wǎng)頁和網(wǎng)站上，并使用不受信任的數(shù)據(jù)來定位目標頁面。如果沒有正確的驗證機制在此過程中加以制約，攻擊者完全可以將受害者的訪問請求重新指向到釣魚類或其它惡意軟件網(wǎng)站上，或者將訪問轉(zhuǎn)發(fā)至未經(jīng)授權(quán)的頁面。

對于OWASP十大頁面應用程序安全風險中的九個，我都將通過推薦對應管理工具的方式幫助大家識別，并降低這類風險對大家公司及個人在網(wǎng)站運營及服務提供方面的危害。而且我要做的，是努力為每一類風險提供多種不同的解決方案以供大家選擇，從而避免同一安全保障軟件被重復使用。從其中選擇最適合自己的獨特工具吧。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

以下是一個關(guān)于安全風險及其應對工具的表格：

除此之外還有很多針對這類工作的工具；這份簡單的名單所列出的只是那些我曾經(jīng)親自使用過的，處理各種協(xié)議、研究及日常工作的工具。我向你保證，如果你有針對性地對這些工具軟件加以自定義及設定，那么這個工具軟件集合在對安全薄弱環(huán)節(jié)進行評估方面絕對會發(fā)揮巨大的作用。我還會為大家推介一些非常實用的相關(guān)資源。Samurai Web Testing Framework (WTF) 就是一款非常優(yōu)秀的，基于Linux的LiveCD所發(fā)行的工具，它由Secure Ideas的Kevin Johnson以及InGuardians的Justin Searle共同開發(fā)完成。這款工具的兩位制作者將其定義為最好的開源且免費的工具，用來應付那些有關(guān)網(wǎng)頁檢測及頁面攻擊的問題，而其功能性方面的選擇方案則是由兩位制作者由自身日常工作中遇到的情況而斟酌得出。作為武士系列工具的一部分，同樣還存在著武士WTF火狐附加組件工具集，其中包含為你的火狐瀏覽器量身訂做的網(wǎng)頁應用程序滲透測試及安全分析附加組件。

我最喜愛的測試工具及方案的平臺是OWASP的 WebGoat，這是一款"主動暴露安全隱患的J2EE網(wǎng)頁應用程序，其設計目的是為大家提供網(wǎng)頁應用程序安全經(jīng)驗"。我推薦WebGoat5.3 RC1標準發(fā)布版作為教學工具，因為它的功能性更接近于一個實驗平臺。詳情請參閱包含WebGoat實驗平臺使用指南的下載站點。

最后，別忘了FoxyProxy這款火狐專用的代理類附加組件，它同樣是我們上面提到的工具軟件集的"必備一員"，因為代理功能在我們的測試中是經(jīng)常會被用到的。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第一位: SQL注入攻擊 - SQL Inject Me

大多數(shù)人都對SQL注入攻擊有所了解，因為它既普遍存在，又影響巨大?；鸷鼮g覽器的附加組件SQL Inject Me，作為武士WTF插件集合中的一部分，在檢測你正在瀏覽中的應用程序方面非常實用。通過它你可以檢測全部架構(gòu)或選中的參數(shù)所能受到的各種攻擊方式，或者是檢測該工具中預設的九種常見攻擊類型。當在工具中選定攻擊方式后，再執(zhí)行SQL Inject Me，則該工具的運行狀況即會如圖一所示，包括通過在選項中添加或刪除字符串的方式進行攻擊。

圖一 - SQL Inject Me>

檢測結(jié)果會在整個測試過程結(jié)束后，以報告的形式生成在一個獨立的火狐瀏覽器選項卡中。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

更多安全工具>>進入專題

更多網(wǎng)管軟件>>進入專題

#p#

第二位: 跨站點腳本 (簡稱XSS) - ZAP

Zed攻擊代理（簡稱ZAP），同樣是OWASP項目的一部分，這是一款"易于使用的，幫助用戶從網(wǎng)頁應用程序中尋找漏洞的綜合類滲透測試工具"。它同時還是Paro Proxy項目的一款分支軟件（目前相關(guān)的支持功能已取消）。ZAP公司擁有對其所發(fā)布工具的長效及對未來版本的明確發(fā)展路線；在后續(xù)產(chǎn)品中，功能性無疑將得到進一步加強。該工具的1.2.0版本包含了攔截代理、自動處理、被動處理、暴力破解以及端口掃描等功能，除此之外，蜘蛛搜索功能也被加入了進去。正是因為ZAP具備對網(wǎng)頁應用程序的各種安全問題進行檢測的能力，在這里我們將在它的幫助下對跨站點腳本（簡稱XSS）項目進行測試。

首先要確認將ZAP加入你的FoxyProxy代理工具中，安裝后啟動，讓你的火狐瀏覽器通過FoxyProxy對其網(wǎng)絡數(shù)據(jù)交換進行管理，之后再做一些相關(guān)測試。

我將ZAP定位于自己的Newscoop3.5版本實驗平臺上，因為目前Newscoop的3.5.1版本被開發(fā)商披露與本工具不兼容。

在查看某個應用程序之后，ZAP的用戶界面將自動被添加進訪問過的網(wǎng)頁中去。這時右擊newscoop，然后選擇"蜘蛛"選項。這一操作將會根據(jù)我們當前訪問的權(quán)限抓取所有網(wǎng)頁。我一般會通過分析來調(diào)整自己的掃描策略，以避免不必要的檢查，然后再選擇開始掃描來對那些選定的應用程序進行評估。圖二展示了Newscoop所發(fā)現(xiàn)的XSS錯誤。

圖二 - ZAP>

我非常欣賞ZAP在進行掃描操作時所表現(xiàn)出來的抓取能力，因此它占據(jù)了我最喜愛的代理工具中的第二位，僅次于Burp。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第三位: 無效的認證及會話管理功能

無效的認證及會話管理功能會導致一種通病，即在會話ID保護方面的薄弱。它們一般來說既不具備SSL/TLS的保護，存儲方式簡陋低劣（未進行加密），又暴露在來自URL的改寫風險之下。我的確遇到過有些應用程序的會話ID是被用戶以一段MD5碼或是SHA1散列形式的密碼所保護起來的。如果攻擊者發(fā)動的是中間人攻擊或是通過XSS漏洞獲取到會話ID，那么在假設這一過程不可逆的前提下，我們將可以使用火狐的插件HackBar加以應對。HackBar插件在安裝之后，可以通過按下功能鍵F9的方式調(diào)出，然后選擇加密，接下來是選擇MD5加密或SHA1加密，最后將攻擊檢測結(jié)果發(fā)出（如果有結(jié)果可顯示的話）。

圖三 - HackBar>

除了XSS及SQLi檢查，HackBar在對Base64，各種URL以及HEX的編碼及解碼方面也非常實用。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第四位: 對不安全對象的直接引用-Burp Suite

我始終堅信文件路徑及目錄瀏覽過程中檢查步驟的缺乏，正是對不安全對象的直接引用這類現(xiàn)象產(chǎn)生的最大根源。借助這一薄弱環(huán)節(jié)，攻擊者們將能夠獲取到/etc/passwd目錄下的內(nèi)容。

雖然我將Burp作為自己的首要網(wǎng)頁應用程序安全漏洞分析工具--使用的是特殊的商用版本，其實你也可以使用這款工具的免費版（不具備掃描功能）來對路徑及目錄瀏覽過程進行監(jiān)測。

Burp同樣可以作為一款代理軟件來使用；跟ZAP類似，只要在FoxyProxy上進行相應設置即可。啟動Burp（你會需要安裝Java），然后將你的瀏覽器指向要訪問的目標地址。通過WebGoat，我們能夠得到關(guān)于被稱為訪問控制漏洞--規(guī)避路徑訪問控制計劃的寶貴經(jīng)驗。右擊目標地址的URL(http://localhost/WebGoat/attack?Screen=17&menu=200)，將其添加到Burp左側(cè)的信息格中并選擇將其發(fā)送至中繼器中?，F(xiàn)在轉(zhuǎn)至中繼器選項卡并修改Backdoors.html條目以使其將文件參數(shù)提交至BackDoors.html..\..\..\..\..\..\..\..\..\..\windows\win.ini。然后點擊go按鈕。

圖四清楚地表明，我們已經(jīng)可以對主機系統(tǒng)中的win.ini文件進行直接訪問。

圖四 - Burp>

如果大家使用的是基于Windows系統(tǒng)的網(wǎng)頁服務器，攻擊者顯然會使用一種危害性更強的字符串（例如SAM）進行攻擊。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第五位: 偽造的跨站點請求 (簡稱CSRF) - Tamper Data

有這么一款工具，我對它在偽造的跨站點請求 （簡稱CSRF）的測試表現(xiàn)方面極為贊賞，它就是：Tamper Data。同樣作為武士WTF附加組件集合中的一部分，Tamper Data使網(wǎng)頁內(nèi)容的交互變得難以置信的簡單。

在檢測一款可能會被任意更改指向的應用程序（簡稱GalleryApp）時，我使用Tamper Data來測定該GalleryApp是否在將所有參數(shù)提交給admin.php腳本時會容易受到CSRF攻擊。.攻擊者很可能會通過欺騙手段冒充管理員以獲取創(chuàng)建或刪除賬戶的權(quán)限，而這類CSRF漏洞在這種情況下則很可能會被他們利用來訪問某個惡意的網(wǎng)站。

在Tamper Data運行的同時（在火狐中：點選工具項，再選擇Tamper Data），我進行了自己的GalleryApp測試實踐。為了驗證CSRF的漏洞，我首先創(chuàng)建了一個額外的用戶，并在Tamper Data中選擇開始篡改，最后選擇點擊刪除來分析該過程中被傳輸及提交的參數(shù)。

隨著應用程序的正常運作，依照邏輯它會為額外的這個用戶分配一套新的2號id。這種邏輯像是一種能夠被攻擊者迅速利用的可預測的權(quán)限，具體情況見圖五。再看一次，請注意這里缺乏任何一種令牌或其它形式的訪問限制手段。而這正是常常被用來驗證CSRF 漏洞存在的重要指標。

圖五- Tamper Data>

我的攻擊活動在概念層面上證明了一個HTML架構(gòu)的頁面中包含具名的內(nèi)容（刪除ID）以及行動參數(shù)，同時還具備一種傳輸過程及其隱藏的輸入信息。為了進一步證明這一結(jié)論，我還在頁面中加入了輕微的時間延遲及document.deleteID.submit()腳本，借以完成預定的任務。正如圖五中所看到的，為了完成我的對Tamper Data實際功效的驗證，隱藏的輸入信息內(nèi)容如下：

<input type="hidden" name="id" value="2″> 
<input type="hidden" name="action" value="user"> 

通過所傳輸?shù)男畔?，我選定的內(nèi)容被正確提交，并使我獲得了創(chuàng)建特權(quán)用戶的權(quán)限，這樣一來我就可以利用此經(jīng)過身份驗證的用戶身份，對應用程序調(diào)用的文件發(fā)出修改指令。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

更多安全工具>>進入專題

更多網(wǎng)管軟件>>進入專題

#p#

第六位: 安全配置錯誤 - Watobo

Watobo 使安全專業(yè)人員能夠以高效且半自動化的方式對網(wǎng)頁應用程序的安全性進行評估。這是一款相當不錯的工具，在檢測如SQLi及XSS等因某些配置錯誤而導致的安全問題中發(fā)揮出色。

我利用它來方便地對自己所搭建的故意保留安全隱患的實驗服務器進行攻擊，當然這僅僅是內(nèi)部測試。直接將自己的服務器設置為暴露在互聯(lián)網(wǎng)環(huán)境下這類行為，根據(jù)教科書中的定義來衡量無疑是錯誤的，而我所做的這一切只是為了對Watobo的實際應用效果進行"評估"。

Watobo是以代理工具的角度運行的，并且需要調(diào)用Ruby中的部分內(nèi)容，因此你需要在自己的系統(tǒng)中安裝Ruby解釋程序。將FoxyProxy進行設置，以使其將網(wǎng)絡數(shù)據(jù)流通過8081端口導入Watobo。通過你所選擇的瀏覽器，你將需要定義一個項目，然后定義會話，最后是瀏覽你的目標站點。選擇目標，接著點擊那個大大的綠色箭頭（真是太容易了對吧）。你將需要確定內(nèi)容范圍；我選擇了配置、雜項以及文件共享。

圖六反映了搜索結(jié)果的清單，它們具備同一個普遍的安全配置錯誤。

圖六- Watobo>

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

更多安全工具>>進入專題

更多網(wǎng)管軟件>>進入專題

#p#

（第七位安全威脅目前還沒有相應的工具）

第八位: 不限制訪問者的URL - Nikto/Wikto

能確保你的應用程序?qū)υL問者的URL進行查詢之后才向那些被保護的鏈接及按鈕提交請求當然不錯，但如果應用程序并沒有在每次接到類似的訪問請求時都進行監(jiān)控，那么攻擊者們將能夠獲取到這些應用程序所調(diào)用的隱藏頁面，這已經(jīng)是人盡皆知（例如WordPress）的情況了。而通過例如Nikto或是Wikto（與Nikto類似，具備Windows圖形用戶界面）即可輕松實現(xiàn)上述操作。

Nikto，cirt.net出品（其口號是：自信源自于懷疑），是一款"網(wǎng)頁服務掃描工具，支持同時就多個項目對網(wǎng)頁服務器進行全方位測試，其中包括檢測超過六千四百種具有潛在危險或版本已過于陳舊的文件或公共網(wǎng)關(guān)接口腳本，檢測超過一千種過時的服務器版本，以及二百七十多種針對不同類型服務器的安全隱患。"

Nikto的應用需要Perl解釋程序進行支持。 它基于Linux系統(tǒng)運行，啟動過程非常簡單，只需鍵入：

./nikto.pl -h <target host IP or URL>. 

圖七顯示的運行結(jié)果，其運作所針對的服務器與圖六中所涉及到的一致。

圖七- Nikto>

Nikto會產(chǎn)生一些明顯的誤報，但你也可以從繁多的檢測結(jié)果中得到真正有價值的信息。

請注意圖七底部，該處提示建議限制訪問。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第九位: 傳輸層面的保護力度不足- Calomel Add-on

對傳輸層面保護力度不足的原因，我的描述非常簡單。你在自己的實際運作中沒有用到SSL。看看，的確非常簡單吧。許多網(wǎng)頁應用程序安全測試工具都會在你的應用程序無法使用SSL/TLS時（例如切換為管理員權(quán)限或進行登錄操作）或你所應用的是一個較舊的版本（SSL v1或v2）時進行提示。另有一個有趣的火狐附加組件，它并不在我們的武士WTF工具集合中，卻能夠在收集認證證書信息方面提供非常好的反饋。舉例說明，Calomel附加組件會很快注意到我為holisticinfosec.org所準備的自簽名證書完全是偽造的（這種情況只針對我的測試，在大家的應用中并不存在），如圖八所示。

圖八 - Calomel>

Calomel將會對SSL連接及安全等級等信息進行驗證，并改變對應工具欄按鈕的顏色，這取決于加密強度的高低，從紅色（強度低）到綠色（強度高）。所有證書的狀態(tài)細節(jié)都可以在對應的下拉菜單中進行查詢。

>>進入十大工具及應用策略搞定OWASP熱門威脅專題下載相關(guān)工具

#p#

第十名: 未經(jīng)驗證的重新指向及轉(zhuǎn)發(fā)- Watcher

Watcher是Chris Weber開發(fā)的 Fiddler 附加組件(只支持IE核心)，而且其在被動分析方面的表現(xiàn)好得難以置信。為了打造能夠解決上述問題的健康的信息傳輸層，Watcher還要求你在自己的瀏覽器上同時運行Fiddler。一旦與Fiddler同時被安裝，Watcher的使用就變得如同利用Fiddler來管理IE的網(wǎng)絡數(shù)據(jù)流那么簡單，這時Watcher已經(jīng)在Fiddler中開始發(fā)揮作用。接下來你在瀏覽器中選取目標網(wǎng)址并進行訪問；Watcher將會以被動狀態(tài)提供監(jiān)視及報警功能，詳見圖九所示。

圖九- Watcher

重新指向如果不加以控制，會給我們帶來許多危害，因為它會使那些利用釣魚網(wǎng)站的罪犯有機可乘，受害者可能通過網(wǎng)址進行判斷，以為正在訪問的是為自己所熟悉的安全站點。 如果你感覺有點無聊，想要看看網(wǎng)址重新指向到底能惹出多大的禍來，試試輸入以下內(nèi)容：

inurl:"redirect.asp?url=". 

榮譽獎: W3AF, skipfish 以及 Websecurify

這三款工具我都用過，并且也非常喜歡；而在本文中將它們?nèi)吲懦谕庖彩刮曳浅殡y。Skipfish這款工具之前在我的每月專欄 ISSA Journal中，我已經(jīng)做過介紹。

而盡管這些工具所利用的檢測方式及接口不盡相同，但其在檢測的綜合性以及提供的功能方面都是很類似的。

Web Application AttackandAudit Framwork，或稱為W3AF，也已經(jīng)收錄在武士WTF工具合集中，這為大家獲取這份LiveCD的鏡像又提供了一個很好的理由。

而更牛的是，W3AF甚至包含了一個十大OWASP安全問題的配置文件，這樣大家就可以直接就我們前面提到的這些項目進行預先評估。

綜述

我建議大家完整閱讀OWASP的十大安全問題全文之后，再開始對自己的設備進行測試。因為這樣一來，大家就能夠在對漏洞的不良影響、嚴重程序、降低風險及進行修復的具體細節(jié)方面得到更多補充。

請記住這條原則性忠告：不要在不屬于你的站點或應用程序上使用這些工具。

最簡單的實踐方法是設置兩個虛擬機，一個用來運行武士WTF，另一個則運行任何能夠支持WebGoat的操作系統(tǒng)。我推薦大家使用具備LAMP功能的虛擬機，以便安裝任意數(shù)量的具有漏洞或可能存在漏洞的網(wǎng)頁應用程序。

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

原文鏈接：http://resources.infosecinstitute.com/owasp-top-10-tools-and-tactics/

【編輯推薦】

1. 虛擬網(wǎng)絡的安全策略 IDS/IPS的實施
2. 分層安全策略必不可少的環(huán)節(jié)之內(nèi)部防御
3. Web應用防火墻會使企業(yè)安全策略復雜化嗎？
4. 九個免費的安全工具