我正在mod_securityApache 服务器上实施。为了测试保护的有效性,我正在寻找一个可以生成一组预定义恶意 HTTP 请求的客户端。我将测试启用和未mod_security启用的请求,并根据日志查看已阻止的恶意请求百分比。
您知道有什么好的工具可以生成一组预定义的恶意 HTTP 请求吗?
答案1
市面上有多种免费/开源选项。我的一位好友是一名 Web 应用程序渗透测试员,他不使用其中任何一种(Nessus 除外,但只使用 Professional Feed),因为它们的工具集相当复杂,并且包含许多未公开的零日漏洞。但是,它们非常昂贵,需要某些认证/资格才能购买。
尽管就纯粹的零日漏洞扫描而言,这些工具可能不是最先进的,但仍然有很多旧的、众所周知的漏洞每天都在被利用,因此这肯定会让您很好地了解您的系统上可能存在哪些漏洞,无论是否被利用(即查找未清理的参数、任何错误配置等)。
涅索斯(专业版费用 > 1000 美元/年,但免费版仍然存在不少漏洞)
您可能不知道的几件事:
- 全面扫描可能需要天有时周完成,取决于站点的大小、网络(见下文)和扫描规则的广度/深度进行相应的计划。
一些扫描仪具有限制功能,但由于请求量巨大,最好:
a) 在快速网络(LAN)上测试您的 Web 应用程序;
b) 显然这个 Web 应用程序不应该投入生产,如果是这样,我会使用测试数据集运行它;
c)拥有充足的资源用于日志记录(或完全禁用它)。
您可能还想定期检查在线漏洞数据库查找已知的漏洞;我会定期搜索我托管的任何开源 Web 应用程序,并根据需要禁用或修补(我正在查看你Joomla)。