我正在寻找一种自动模糊应用程序或扫描漏洞的方法.请假设我的黑客知识是0.此外,源代码在我的本地主机上,所以我需要一种方法在本地模糊它而不依赖于互联网连接.一些安全专家可以给我一些提示或建议吗?我不确定哪种选择最好.
编辑:
感谢您的努力回答,但到目前为止似乎没有得到重点.我想更具体(因为它有助于提问)但不影响观点或听起来像我在宣传特定产品.我正在寻找像wapiti这样的东西(很遗憾提到名字,但不得不这样,因为到目前为止的答案就像学习sql注射,xss等显然不是真正的“专家”这个问题的答案.我已经知道了这些(认真的,这个问题听起来像是一个不了解安全问题的人会问的吗?)
我不是在问我是否应该测试,我在问我应该怎么测试.我已经决定采用自动化(除非有人给我一个证明它没用的专家答案,否则这个决定没有回头路),所以请尊重我想要自动化的决定.我不想通过每个编译的xss,sql注入等黑客列表并自己手动尝试对我的网站(甚至黑客不破解这种方式).获得问题的任何人都可获得超级额外积分.
有些人问为什么不学习.
最好的做法(我知道)与了解黑客行为不同.有些人想说他们是一个翻转硬币,但我绝对不同意:)因此我需要一个具有“黑客心态”的人的保护工具.事实上,你应该怎么做才会受到伤害;)专家的答案请来自那些知道的人.
有
services可以自动扫描漏洞.他们不会抓住一切,但会帮助你发现问题.您最好的选择是使用这些服务之一并学习一些安全最佳实践.
开始学习sql injection和cross site scripting.这些是最大和最容易修复的漏洞.
防御性编程是恕我直言,每个程序员都应该学习的技能.
没有什么可以替代你自己理解这些问题.