Powered by GitBook

Owasp Testing Guide v4

附录 A: 测试工具

开源黑盒测试工具

通用测试工具

特定漏洞测试工具

DOM XSS测试工具
AJAX测试工具
SQL注入测试工具
Oracle测试工具
SSL测试工具
暴力破解密码工具
缓冲区溢出测试工具
模糊测试工具
googling搜索引擎测试工具

商业黑盒测试工具

源代码分析工具

开源/免费工具

商业软件

验收测试工具

验收测试工具用来验证web应用的功能性完整。通过一系列程序方法和单元测试框架来组织测试套件和测试用例来进行测试。这些测试能够大部分覆盖安全相关测试和功能性测试

其他开源工具

  • WATIR - http://wtr.rubyforge.org
    • 一个基于RUby的web测试框架,提供IE接口。
    • 仅支持windows
  • HtmlUnit - http://htmlunit.sourceforge.net
    • 一个基于Java、JUnit和Apache HttpClient的测试框架。
    • 非常健壮和可定制化,被一些其他工具作为测试引擎。
  • jWebUnit - http://jwebunit.sourceforge.net
    • 一个基于Java的元测试框架,使用htmlunit或selenium作为测试引擎。
  • Canoo Webtest - http://webtest.canoo.com
    • 一个基于XML测试工具,作为htmlunit的前端。
    • 不需要编写代码,完全由XML定义测试。
    • XML无法完成任务时,可以使用Groovy编写脚本。
    • 更新很积极。
  • HttpUnit - http://httpunit.sourceforge.net
    • 最早的web测试框架,使用原生JDK提供HTTP传输,存在局限性。
  • Watij - http://watij.com
    • WATIR的一个Java实现.
    • 由于使用IE进行测试,仅支持windows(Mozilla整合功能正在开发中)
  • Solex - http://solex.sourceforge.net
    • 一个提供图形化界面来记录HTTP会话,并基于结果进行断言的Eclipse插件。
  • Selenium - http://seleniumhq.org/
    • 基于JavaScript的测试框架,跨平台,提供GUI界面创建测试案例。
    • 非常成熟和流行的工具,但是使用JavaScript可能不利于部分安全测试。

其他工具

实时(Runtime)分析工具

二进制文件分析工具

需求管理工具

站点镜像工具