简而言之,我正在寻找一种工具来对Web应用程序执行自动化,零配置,全面攻击. 我认为这将逻辑上是一个浏览器扩展,既可以抓取给定的域/路径上的链接,也可以随机地将数据输入到表单中
我认为这将逻辑上是一个浏览器扩展,既可以抓取给定的域/路径上的链接,也可以随机地将数据输入到表单中并提交.具体来说,表单输入将随机包括各种数据类型,特殊字符,过多数据,各种字符编码和空值.多线程是必需的(也许一个插件只是使用多个Firefox标签).
该工具不(并且不应该)需要对结果进行任何断言,或验证任何应用程序行为.相反,持久化层(DB记录等)和应用程序日志将用于评估此“测试工作”的结果.
这将是补充现有测试工具(Selenium,QuickTestPro)和可能没有100%覆盖率的方法的工具.
任何有关现有或开发工具的建议?如果没有,我很想开始一个开源项目.
澄清:我特别不寻找渗透测试工具.
更新:我已经建立了一个开源项目来满足这个问题.见下面的评论.
我用了 Acunetix的试用了一段时间.这似乎是有效的,虽然它比我想象的要花费更长的时间,但肯定不是开源的.我忘了这个东西叫什么,this list at SoftwareQATest是我再次发现的地方.该列表可能对您有用. The list of testing tools at OWASP看起来很方便.