看守被设计为基于HTTP的Web应用程序运行时的被动分析工具。它可以检测Web应用程序的安全性问题,以及业务配置问题。
看守热点笔测试人员发现的漏洞,开发人员快速完整性检查,及核数师PCI合规性审计。它看起来的神器出山:www.shenqi73.com问题相关的混搭,用户控制的有效载荷(潜在的XSS),饼干,评论,SSL,HTTP头,闪光灯,Silverlight中,引用泄漏,信息披露,Unicode编码,和更多。作为一个插件的目标是建立看守=“_blank” HTTP调试代理。
看守是建立在C#作为一个小框架,30 +,检查已经包含。它的建成,使新的检查可以很容易地创建,执行自定义特定于您的组织的政策,或执行通用安全评估审计。
,目前能确定的问题看守的类型:
- 跨域样式表和javascript引用
- 用户可控的跨域引用
- 用户可控的属性值,如HREF,表单操作,等等。
- 用户可控的JavaScript事件(例如的onclick)
- 跨域名形式:
- 不安全的饼干,没有设置HTTPOnly或安全标志
- 打开重定向可能会被滥用垃圾邮件发送者和网络钓鱼者
- 不安全的Flash对象的跨站点脚本的有用的参数
- 不安全的闪存的crossdomain.xml
- 不安全的Silverlight clientaccesspolicy.xml
- 可能引入的脆弱性(非UTF-8字符集声明)
- 用户可控的字符集声明
- 危险的HTTP和HTTPS之间的上下文切换
- 使用不足时,高速缓存控制头的私人数据而言(如无店)
- 潜在的HTTP引用敏感的用户信息泄露
- 潜在的信息泄漏的URL参数
- 值得一探究竟的源代码注释
- 不安全的摘要和基本的身份验证协议,如
- SSL证书验证错误
- SSL不安全的协议问题(允许使用SSL v2)
- Unicode的问题,无效的字节流
- SHAREPOINT不安全检查
上一个软件:安全计算器5.10_Safe Calculator 5.10
下一个软件:Debaser 0.1