摘要： 1 常用操作系统扫描工具介绍1.1 CIS-CAT【功能】可以根据不同的操作系统，选择不同的基准进行系统漏洞扫描。【适用对象】Unix/Linux，MS Windows，并且这些系统上装了java 5或以上。本文主要介绍在Linux下的用法1.1.1 扫描准备将工具解压到目标Linux机器上，CIS-CAT扫描Linux机器必须要求机器安装JDK在1.5或以上可以通过＃java -version查看具体的版本号，如果机器上有JDK在1.5以上但是只是没有设置环境变量，请参照以下方法设置，如果没有版本在1.5或者以上，请下载1.5或者以上版本安装。更新环境变量参照如下：＃vi .profileP 阅读全文

摘要： 最近对产品做了安全测试，以前没有接触过这方面，做做感觉很有意思。介绍几个工具吧。1. WebScarab 免费的开源工具，我用它主要使用了URL拦截功能，修改URL参数可以发现网站的漏洞。例如，某些网站对用户输入的合法性只在客户端做了检查，使用WebScarab可以很容易的进行SQL注入。下面是工具的介绍：这主要是一款代理软件，或许没有其它的工具能和OWASP的WebScarab如此丰富的功能相媲美了，如果非要列举一些有用的模块的话，那么他们包括HTTP代理，网络爬行、网络蜘蛛，会话ID分析，自动脚本接口，模糊测试工具，对所有流行的WEB格式的编码/解码，WEB服务描述语言和SOAP解析器等. 阅读全文

摘要： 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、Session 固定攻击(Session Fixation) 9、HTTP响应拆分攻击(HTTP Response S... 阅读全文