這篇文章受密碼保護,請輸入密碼後查看內容。
- Oct 09 Mon 2023 17:20
-
[Web] Cyberbit Range筆記
- Apr 06 Wed 2022 12:02
-
[Web] CheckMarx出現「憑證無效」
- Jul 14 Wed 2021 14:19
-
[Web] 從資料夾取出CheckMarx源碼檢測需要的檔案
今天要用 CheckMarx 掃描一個系統,對方把整個專案壓縮給我,一共將近 200MB,我沒看清楚就放上去,不僅當天沒辦法取得結果,而且在經過了 20 小時之後才掃了三分一之不說,CheckMarx 的 CPU 還飆升到 100% 了。囧
前輩提醒我,CheckMarx 上傳的上限是 100MB,因為不是自己的系統,不知道要怎麼萃取出原始碼,可以使用 CheckMarx 的工具:CxZIP。
前輩提醒我,CheckMarx 上傳的上限是 100MB,因為不是自己的系統,不知道要怎麼萃取出原始碼,可以使用 CheckMarx 的工具:CxZIP。
- Aug 11 Mon 2008 20:23
-
[Misc.] Ratproxy: 網頁應用程式安全性評估工具
最近在研究 XSS,想到之前 willie 推薦過的 w3af,
就在網路上找了一下可以檢查 .net 裡的 XSS 弱點的工具。
找到的是 Ratproxy,是 Google 內部也在用的評估工具。
安裝可以參考這篇文章一步一步做:
http://www.butterdev.com/web-security/2008/07/google-ratproxy-web-application-security-audit-tool/
另外作者也很善良地寫了篇使用方法:
http://www.butterdev.com/dwr/2008/07/google-ratproxy-part-2-running-and-using-ratproxy/
在 windows 上安裝大概要注意的就是,要先裝 cygwin,
而 cygwin 下載下來後並不是完整的安裝檔,只是拿來設定用的而已。
設好要安裝的 package 後再開始安裝,
要注意一定要裝 make,其他的就看錯誤訊息慢慢補。
make 時會出現以下警告訊息:
*** WARNING: flare-dist/flare bianry is not operational.
*** Please see flare-dist/README and update for your OS.
到這邊補下載就可以了:
http://code.google.com/p/ratproxy/source/browse/trunk/flare-dist/README?r=9
要掃的時候就把剛才在 cygwin 編譯好的執行檔拿來用:
ratproxy.exe -v c:\cygwin -d test.com.tw -w ratproxy.log -lfscm
各個參數的功能是這樣的(其他參數請上 Google Code 這個 project 的頁面查詢囉):
-v 後面表示 trace 的記錄存放的資料夾,路徑可以改一下,我個人是不建議放在 cygwin 底下,好亂=_=
-d 後面表示指定只掃該網域的內容,免得其他有的沒的全都一起掃進來
-w 表示 log 寫到指定檔案中
內建轉換程式,讓 log 可以成為更具可讀性的網頁檔案:
sh ratproxy-report.sh ratproxy.log > report.html
坦白說測了一下,但對這個沒什麼感覺...
可能是因為從報告中沒有得到想要的東西吧。
研究有心得再來更新這篇文章。 :)
就在網路上找了一下可以檢查 .net 裡的 XSS 弱點的工具。
找到的是 Ratproxy,是 Google 內部也在用的評估工具。
安裝可以參考這篇文章一步一步做:
http://www.butterdev.com/web-security/2008/07/google-ratproxy-web-application-security-audit-tool/
另外作者也很善良地寫了篇使用方法:
http://www.butterdev.com/dwr/2008/07/google-ratproxy-part-2-running-and-using-ratproxy/
在 windows 上安裝大概要注意的就是,要先裝 cygwin,
而 cygwin 下載下來後並不是完整的安裝檔,只是拿來設定用的而已。
設好要安裝的 package 後再開始安裝,
要注意一定要裝 make,其他的就看錯誤訊息慢慢補。
make 時會出現以下警告訊息:
*** WARNING: flare-dist/flare bianry is not operational.
*** Please see flare-dist/README and update for your OS.
到這邊補下載就可以了:
http://code.google.com/p/ratproxy/source/browse/trunk/flare-dist/README?r=9
要掃的時候就把剛才在 cygwin 編譯好的執行檔拿來用:
ratproxy.exe -v c:\cygwin -d test.com.tw -w ratproxy.log -lfscm
各個參數的功能是這樣的(其他參數請上 Google Code 這個 project 的頁面查詢囉):
-v 後面表示 trace 的記錄存放的資料夾,路徑可以改一下,我個人是不建議放在 cygwin 底下,好亂=_=
-d 後面表示指定只掃該網域的內容,免得其他有的沒的全都一起掃進來
-w 表示 log 寫到指定檔案中
內建轉換程式,讓 log 可以成為更具可讀性的網頁檔案:
sh ratproxy-report.sh ratproxy.log > report.html
坦白說測了一下,但對這個沒什麼感覺...
可能是因為從報告中沒有得到想要的東西吧。
研究有心得再來更新這篇文章。 :)
1