我做公司的安全测试，一方面做黑盒测试，找到安全的隐患。另一方面，我利用安全测试工具poras，该工具给出了一些问题。1、SQL Injection
2、CRLF injection
3、Cross site scripting without brackets
4、Obsolete file。
每个问题后面，都跟着很条理的修改意见。很抽象。发给开发人员。但是他们对此不以为然。你们做为i测试人员，应该给出更加充分的理由吗？ 比如从程序的代码入手，指出该如何改进程序。如果真该那样的话，如何深入，有没有具体的web安全分析案例吗？一个也可以

楼主说的安全测试工具poras,哪里有下载或者详细的介绍吗,google都搜不到sdlkfj8

我也想知道 poras 工具 !

偶用的WebInspect......

poras可以在哪里找到？

mei yongguo

在安全这一块本身涉及的内容就有很多，如果真要去准确定位比较麻烦，目前就我们公司正如你说的，找出来后提交bug由开发人员去处理，真要定为到哪段代码还没有这个能力，测试人员应该也没有必要.....如果开发人员付之一笑应该好好沟通了！！安全方面的问题毕竟是大问题

到哪里下载阿？？

我就找到个IDS工具

大哥是PAROS吧

5# 大 中 小 发表于 2007-5-31 11:48  只看该作者
poras可以在哪里找到？

你可以利用下面的link找到
http://www.parosproxy.org/download.shtml