WEB应用评估技术白皮书 - v0.2(4)

WEB应用评估白皮书 4.6 操作记录文档

评估人员会在测试过程中形成操作记录文档，以便出现意外后进行追溯。

五. 报告输出

在评估工作完成后两个工作日内，评估人员将出示一份WEB应用评估报告。 根据评估的结果，绿盟科技评估人员将针对每种威胁进行详细描述，描述内容至少包括了评估过程、使用的技术手段以及获得的成果。

除此之外，绿盟科技评估人员还将结合评估目标的具体威胁内容编写解决方案和相关的安全建议，为管理员的维护和修补工作提供参考。

六. 常用工具

本章节列出部分常见的评估工具，但并不能完整包括真实环境下全部评估工具。

6.1 日志分析工具

工具名称 AWStats Logs2Intrusions 官方地址 http://sourceforge.net/projects/awstats http://www.trsecurity.net/logs2intrusions 表 6.1 日志分析工具

6.2 信息收集工具

工具名称 RSAS Nmap HTTPRecon 官方地址 http://www.nsfocus.com/1_solution/1_2_3.html http://nmap.org/ http://www.computec.ch/projekte/httprecon/ ? 2019 绿盟科技 - 12 - 密级：完全公开

WEB应用评估白皮书 nikto Wapiti NC OScanner HTTPPrint NT Scan http://cirt.net/nikto2 http://sourceforge.net/projects/wapiti/ http://joncraton.org/files/nc111nt.zip http://www.cqure.net/wp/oscanner/ http://www.net-square.com/httprint http://www.cnhonker.net 表 6.2 信息收集工具

6.3 溢出及口令猜解工具

工具名称 Metasploit milw0rm（网站） Hydra CAIN Fast HTTP Auth Scanner 官方地址 http://www.metasploit.com/ http://www.milw0rm.com/ http://freeworld.thc.org/thc-hydra/ http://www.oxid.it/ http://www.tarasco.org/security 表 6.3 溢出及口令破解工具

6.4 WEB漏洞挖掘工具

工具名称 Absinthe Tamper Data Fiddler Perl AppScan IIS PUT Scanner NBSI http://0x90.org/ https://addons.mozilla.org/zh-CN/firefox/addon/966 http://www.fiddler2.com/fiddler2/ http://www.perl.org/ http://www.ibm.com http://www.nosec.org http://www.77169.com 表 6.4 WEB漏洞挖掘工具 官方地址 6.5 数据库工具

工具名称 ? 2019 绿盟科技

- 13 -

官方地址 密级：完全公开

WEB应用评估白皮书 SQL Exec http://www.sunx.org 表 6.5 数据库工具

? 2019 绿盟科技 - 14 - 密级：完全公开