51Testing软件测试论坛

标题: angular框架的系统WEB安全测试如何进行 [打印本页]

作者: 雪__鹰 时间: 2016-6-14 09:22
标题: angular框架的系统WEB安全测试如何进行
目前在做WEB安全测试方面的研究，使用WEB漏洞扫描工具时遇到以下问题：

1. 后端接口是使用请求header中的token，如何绕过认证？
2. angular框架的网站，是否有行之有效的开源或免费测试工具？

使用wapiti进行扫描，对于权限认证方面，用wapiti-getcookie工具去获取cookie，貌似没生效；自己将cookie以json格式填写然后在wapiti的命令中指定使用该cookie后，从wapiti日志看并没有执行实际的检测。

将angular站点的token认证去除后发起扫描，但是看wapiti的日志输出，感觉它只是对前端资源文件，如CSS、JS等文件进行了基本的检测，并不能深入到前后端交互的接口。

各位小伙伴是否有做过WEB安全相关的研究？
有没有对wapiti使用熟悉的，或者对angular站点的WEB漏洞扫描有经验的小伙伴，请多多指教，谢谢！

作者: 雪__鹰 时间: 2016-6-14 09:30
自己顶一下。
接触WEB安全测试不久，希望各位大牛不吝赐教，非常感谢

作者: jingzizx 时间: 2016-6-14 13:42
没研究，帮顶

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)