http://book.51cto.com/art/201212/374023.htm http://www.oschina.net/p/ratproxy/similar_projects…

1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的.攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取.会话劫持.钓鱼欺骗等各种攻击. XSS跨站脚本本身对WEB服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻击.攻击者一般通过留言.电子邮件或其他途径向受害者发送一个精心构造的恶意URL,当受害者在Web浏览器中打开该…

前言 虽然本文是基于YII1.1,但其中提到的安全措施适用于多数web项目安全场景,所以翻译此文,跟大家交流.原文地址. 目录 安全基本措施... 2 验证与过滤用户的输入信息... 2 原理... 2 客户端验证... 2 YII如何防范... 2 跨站脚本攻击XSS. 4 原理... 4 YII如何防范... 5 SQL注入... 7 原理... 7 YII如何防范... 8 跨站请求伪造CSRF. 12 配置WEB服务器... 12 PHP项目一些有用的指令... 15 授权... 16…

http://www.owasp.org/index.PHP/Phoenix/Tools http://sebug.net/paper/other/Web安全工具大汇聚.txt =========================LiveCDs Monday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso - http://www.packetfocus.com/hackos/DVL (Damn Vulnerable Li…

用于评估Web应用程序漏洞的基于Java的Web代理. 它支持在运行时编辑/查看HTTP / HTTPS消息,以更改Cookie和表单字段等项. 它包括网络流量记录器,网络蜘蛛,哈希计算器和用于测试常见的Web应用程序攻击(如SQL注入和跨站点脚本)的扫描程序 Fiddler是一个Web调试代理,它记录计算机和Internet之间的所有HTTP(S)流量. Fiddler允许您检查所有HTTP(S)流量,设置断点和“fiddle”输入或输出数据. Fiddler包括一个强大的基于事件的脚本子系统…

5. Web vulnerability scanners (网页漏洞扫描器 20个) Burp Suite是攻击Web应用程序的集成平台. 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用程序的过程. 所有这些工具为处理和显示HTTP消息,持久性,身份验证,代理,日志记录,警报和可扩展性共享相同框架. 有一个有限制的免费版本,还有Burp Suite Professional(每位用户每年299美元). Nikto是一个开源(GPL)Web服务器扫描程序,可针对多个项目对Web服务器…

The Best Hacking Tools Hacking Tools : List of security tools specifically aimed toward security professionals for testing and demonstrating security weaknesses.     Passwords Cain & Abel Cain & Abel is a password recovery tool for Microsoft Opera…

1. Arachni Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序.可用于Mac.Windows及Linux系统的可移植二进制文件. Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别.且同时支持主动检查和被动检查. Windows.Solaris.Linux.BSD.Unix Nginx.Apache.Tomcat.IIS.Jetty Java.Ruby.Python.ASP.PHP…

前言 本文收集了大量抓包工具,近40款,涵盖了各种开发语言(Java,C#,Delphi,C,C++,Objective-C,Node.js,Go,Python).各类前端(GUI,TUI,CUI,Web UI,Browser Addon),请大家赏析. Java 1.Burp Suite http://www.burpsuite.com/ 英国PortSwigger团队开发,用起来很顺手,安全行业占有率很高,闭源.收费. 最近又出了款企业版: 独特的办公环境: 2.Charles http:/…

BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 BlackArch Linux是针对渗透测试人员和安全研究人员的基于Arch Linux的渗透测试分发版.BlackArch Linux预装有上千种专用工具以用于渗透测试和计算机取证分析.BlackArch Linux与现有的Arch安装兼容.您可以单独或成组安装工具.https://blackar…