原文链接:如何做一个App里的web调试小工具 我们知道现在hybrid app非常流行,在这样的app里,h5页面是应用非常广泛的.相对于以往在pc端开发的网页,放在app里的网页由于无法直接使用桌面浏览器的开发者工具,导致我们在有时候在调试的时候不知道到底报了什么错.所以我们需要一个能够在调试app内h5的调试工具,方便我们定位bug. 现在市面上已经有很多比较成熟的工具可以用,例如jsconsole.weinre,都是平常会用到的.但是我自己还是想做一个debug工具,一方面是这些调试工具…

轻量级Web渗透测试工具jSQL jSQL是Kali集成的一款轻量级的Web渗透测试工具.最初该工具主要实施SQL注入,后来增加更多的功能,扩展形成一个综合性的Web渗透测试工具.Kali提供的版本较老,并且无法自动更新.用户需要手动从代码托管网站https://github.com/ron190/jsql-injection下载最新版的v0.79,替换本地的/user/jsql/jsql-injection.jar文件. 在新版本中,jSQL不仅提供更为强大的数据库注入功能,还支持管理页面暴力…

WEB渗透-skipfish Skipfish是一个命令行模式,以C语言编写的积极的Web应用程序的安全性侦察工具,没有代理模式. 它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头. 优点:速度比较快[多路单线程,全异步网络I/O,消除内存管理和调度开销,支持启发式自动内容识别],误报相对低 使用方式:[https://my.oschina.net/u/995648/blog/114321] 基本命令使用方式 skipfish -o test http:1.1.1.1  …

扫描工具-Nikto #WEB渗透 靶机:metasploitable 靶场:DVWA[默认账号/密码:admin/password] #新手先将DVWA的安全性,调到最低,可容易发现漏洞 侦察[减少与目标系统交互] Httrack:将WEB可下载的页面下载到本机,再进行本地检查[kali下安装] ##可到此网站获取代理:hidemyass.com[免费代理需小心] 扫描工具-Nikto #基于WEB的扫描工具,基本都支持两种扫描模式.代理截断模式,主动扫描模式 手动扫描:作为用户操作发现页面存…

扫描工具-Burpsuite 公共模块 0.Spider 爬网 手动爬网 先禁用截断功能 手动将页面中点击所有连接,对提交数据的地方,都进行提交[无论内容] 自动爬网[参数设置] 指定爬网路径,否则其他子目录也会被爬到[右键,Add Scope] #爬网参数设置 ###爬到页面中仍需要身份认证的页面,需重复输入,也可以忽略. #可导出 #################################################################### burpsuite支持两…

扫描工具-QWASP_ZAP 十大安全工具之一,集成性工具,功能完善,而且强大.既可做主动扫描,也可做截断代理.开源免费跨平台,简单易用,体验相对混乱,但在主动扫描方面,相对占优.[kali集成] ####建议选择第二项 ####注意检查更新 更新与插件安装 安装插件release和beta[release:成熟版  beta:测试版  alpha:不成熟版] 截断代理[结合手动爬网] 默认情况下,代理功能自启动 1.启动浏览器代理 2. 2.主动扫描 一.快速爬网扫描 二.直接扫描爬到的内容…

扫描工具-Burpsuite Burp Suite是Web应用程序测试的最佳工具之一,成为web安全工具中的瑞士军刀.其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.[属于重量级工具,每个安全从业人员必须会的]但不是开源软件,有其免费版版,但在free版没有主动扫描功能,可用于手动挖掘.[有其破解版,适合个人使用]所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架.…

扫描工具-Arachni Kali中集成旧的arachni的阉割版,所以需要重新安装[在某些方面有其独特性,但不算很强大,有命令行和web两种使用方式][匿名者推荐] apt-get update http://www.arachni-scanner.com/download/#Linux tar xvf arachni.tar.gz ./arachni_console          #进入命令行模式 ./arachni_web               #启用web服务,进入web操作模…

WEB扫描工具-Vega 纯图形化界面,Java编写的开源web扫描器.两种工作模式:扫描模式和代理模式[主流扫描功能].用于爬站.处理表单,注入测试等.支持SSL:http://vega/ca.crt 专注于应用程序代码方面的漏洞 Vega #基于字典发现网站目录 代理模式 被动收集信息,结合手动爬站[即页面中能点击的链接全部点击一遍,能提交数据的地方,全部提交一遍] #连接到网站外面的链接可以暂时不用管 #设置外部代理服务器 #删除user-agent尾部的vega字样 #设置代理 1.se…

1:Firebug Firefox的 五星级强力推荐插件之一,不许要多解释 2:User Agent Switcher 改变客户端的User Agent的一款插件 3:Hackbar 攻城师们的必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码. 4:HttpFox 监测和分析浏览器与web服务器之间的HTTP流量 5:Live HTTP Headers 即时查看一个网站的HTTP头 6:Tamper Data 查看和修改HTTP/HTTPS头和POST参数 7:ShowIP…