安全扫描器Netsparker 4新版简单试用

找web安全扫描器的时候发现了netsparker4.0，是2015年的新版，最大的亮点就是安全扫描的自动化程度更高了！安全测试时你不再需要录制登录信息，同时其还支持双因素认证。界面看起来很高大上，于是网上下载了个破解版体验了一下

初体验

界面很简单明了，设置下url

然后就可以快速使用默认方式进行crawl和测试

最后可以看到一个工整的测试报告

登录

对于需要登录的网站，提供了脚本录入等多种登入方式

如脚本方式，自动拉起界面，将输入的帐号自动填充到页面里面

 

导入需要扫描的url

支持文本方式或其他抓包文件导入需要扫描的url，如fidder的saz文件 
不过手动输入的URL的显示的都是get方式，不知道是不支持还是显示问题

代理模式

代理模式类似fidder的http代理，监听浏览器的http请求，随着页面操作，将新捕获的请求显示在site map上，然后可以对这些url进行测试

不足之处

自动的XSS和SQL inject是亮点，同时支持自动扫描和手动方式也是强项，使用上很方便，文档也很详尽 
最大的不足是目前还不支持REST api，这一点很可惜，无法应用到目前的项目中