web安全测试
扫描工具:Appscan--针对uri,web service 进行安全漏洞扫描。(黑盒)
Appscan source 对源码进行漏洞扫描。(白盒)
XSS:原理是将响应利用浏览器的解析器进行解析后变成一段代码反射给使用者。
CSRF:利用用户原有的cookie对响应进行处理。
SQL注入:利用响应获取数据库信息或者注入非法内容。
--fiddle捉包篡改数据
--FireBug直接修改--Tamper Data 利用cookie修改数据
使用,Appscan+fiddle