本书主要介绍的是攻击Web应用程序时渗透测试员可以使用的实用技巧。尽管只需要使用一个浏览器就可以完成其中一些任务,但是,要对应用程序实施全面有效的攻击,需要使用一些有用的工具。
拦截代理服务器是工具包中最重要、也是必不可少的工具,可以使用它查看和修改浏览器与服务器之间传送的所有流量。今天的代理服务器还与大量其他集成工具相互补充,这些工具可帮助渗透测试员自动完成所需要执行的许多任务。除使用上述工具套件外,还需要使用一个或几个浏览器扩展,帮助渗透测试员在无法使用代理服务器的情况下继续实施攻击。
Web应用程序扫描器是另一种重要工具。这些工具能够迅速有效地发现一系列常见的漏洞,并且能够解析和分析应用程序的功能。即便如此,还是有许多安全漏洞它们根本无法确定;因此,绝不能依赖它来确保任何应用程序的安全。
最后,要成为一名技术熟练的Web应用程序渗透测试员,还必须了解Web应用程序的运行机制、它们的防御机制的弱点,并了解如何探查其中存在的可被利用的漏洞。为了有效地完成这些任务,需要一些工具,以了解应用程序的逻辑,准确控制与应用程序的交互,并在必要时利用自动控制迅速可靠地实施攻击。那些对实现这些目标最有帮助的工具,就是最适合使用的工具。此外,如果现有的工具并不能满足需求,也可以建立自己的工具。事实上,做到这一点并不是很困难!