找web安全扫描器的时候发现了netsparker4.0,是2015年的新版,最大的亮点就是安全扫描的自动化程度更高了!安全测试时你不再需要录制登录信息,同时其还支持双因素认证。界面看起来很高大上,于是网上下载了个破解版体验了一下
初体验
界面很简单明了,设置下url
然后就可以快速使用默认方式进行crawl和测试
最后可以看到一个工整的测试报告
登录
对于需要登录的网站,提供了脚本录入等多种登入方式
如脚本方式,自动拉起界面,将输入的帐号自动填充到页面里面
导入需要扫描的url
支持文本方式或其他抓包文件导入需要扫描的url,如fidder的saz文件
不过手动输入的URL的显示的都是get方式,不知道是不支持还是显示问题
代理模式
代理模式类似fidder的http代理,监听浏览器的http请求,随着页面操作,将新捕获的请求显示在site map上,然后可以对这些url进行测试
不足之处
自动的XSS和SQL inject是亮点,同时支持自动扫描和手动方式也是强项,使用上很方便,文档也很详尽
最大的不足是目前还不支持REST api,这一点很可惜,无法应用到目前的项目中