51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1675|回复: 2
打印 上一主题 下一主题

angular框架的系统WEB安全测试如何进行

[复制链接]
  • TA的每日心情
    奋斗
    2016-6-14 09:28
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    #
    发表于 2016-6-14 09:22:30 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    目前在做WEB安全测试方面的研究,使用WEB漏洞扫描工具时遇到以下问题:

    1. 后端接口是使用请求header中的token,如何绕过认证?
    2. angular框架的网站,是否有行之有效的开源或免费测试工具?

    使用wapiti进行扫描,对于权限认证方面,用wapiti-getcookie工具去获取cookie,貌似没生效;自己将cookie以json格式填写然后在wapiti的命令中指定使用该cookie后,从wapiti日志看并没有执行实际的检测。

    将angular站点的token认证去除后发起扫描,但是看wapiti的日志输出,感觉它只是对前端资源文件,如CSS、JS等文件进行了基本的检测,并不能深入到前后端交互的接口。

    各位小伙伴是否有做过WEB安全相关的研究?
    有没有对wapiti使用熟悉的,或者对angular站点的WEB漏洞扫描有经验的小伙伴,请多多指教,谢谢!
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    5 小时前
  • 签到天数: 2820 天

    连续签到: 2 天

    [LV.Master]测试大本营

    2#
    发表于 2016-6-14 13:42:35 | 只看该作者
    没研究,帮顶
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-6-14 09:28
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    1#
     楼主| 发表于 2016-6-14 09:30:45 | 只看该作者
    自己顶一下。
    接触WEB安全测试不久,希望各位大牛不吝赐教,非常感谢
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 13:07 , Processed in 0.065433 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表