1.Paros

　　正如其开发团队所言，Paros这个程序是为那些需要评估其Web应用程序的安全性而设计的。它用Java语言编写，并完全免费。通过Paros的代理特性，服务器和客户端的所有的HTTP和HTTPS数据，包括cookies和表单字段，都可以被截获和修改。

　　其功能当然是不错了。如捕捉功能，即可以手动捕捉和修改HTTP(和HTTPS)的请求和响应;过滤器功能，即对HTTP消息模式进行检测并发出警告，帮助用户处理;扫描功能，即可以扫描一些常见的漏洞;日志功能，即允许用户查看并检查所有的HTTP请求/响应内容。等等。如下图3

　　                                                                图　3

　　2.Burp套件

　　其实，Burp套件是一个用于攻击Web应用程序的集成性的平台。它包含很多工具，如代理服务器、圈套程序、入侵程序、转发程序等，拥有许多接口，可以促进、加强攻击Web应用程序的进程。所有的插件共享Burp的健壮框架，可以处理HTTP请求、认证、下游代理(downstream proxies)、日志、警告、可扩展性要求等。

　　Burp套件允许一个攻击者将手动的和自动的技术结合起来，列举、分析、攻击并查找web应用程序的漏洞。多种Burp工具有效地结合起来，可以共享信息，并且允许用一种工具找到的漏洞来形成用另外一种工具攻击的根据。

　　●其关键特性有：

　　(1)能够被动地以一种非入侵方式“圈住”一个应用程序，并可使所有的请求都起源于用户的浏览器。

　　(2)一次单击就可以在插件之间传送数据请求。

　　(3)通过IburpExtender接口进行扩展，这也就容许了第三方的代码扩展Burp套件的功能。由一个插件处理的数据可以用任意的方式来影响另外一个插件的行为和结果。

　　(4)可以为下游代理、Web、代理认证和日志集中配置。

　　●Burp套件的下载地址为：http://portswigger.net/suite/

　　如果你对这些工具感兴趣，不妨下载试试。一定会为你带来惊喜的。

上一页  [1] [2]