Escáner / herramienta para generar una lista con todos los formularios y campos de entrada de un sitio web [cerrado]

Question

Escáner / herramienta para generar una lista con todos los formularios y campos de entrada de un sitio web [cerrado]

#1 de Abe Miessler (2 votos)

-1

No tengo mucha experiencia con la seguridad de la información, pero conozco algunos conceptos básicos sobre los ataques de inyección y otros ataques basados en la web. ¿Existe una herramienta / rastreador para encontrar todos los formularios y campos de entrada de un sitio web completo?

Sé que los complementos para Firefox y Chrome muestran los detalles del formulario del sitio web que se está viendo actualmente. Lo que necesito es una herramienta como un escáner de seguridad / rastreador de sitios web que escanea automáticamente todo el sitio web en busca de formularios y genera un archivo útil o muestra una descripción general de los formularios y sus campos de entrada. Utilizo linux y quiero revisar un sitio web desarrollado localmente para formularios y campos de entrada.

editar: no usé ninguna herramienta de seguridad antes de conocer algunos conceptos básicos de libros y artículos de Internet

web-application tools web-scanners injection vulnerability-scanners

pregunta clinical 02.09.2014 - 18:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application tools web-scanners injection vulnerability-scanners

¿Tiene efecto de efecto de corazón el voto electrónico [cerrado] ¿Cuáles son las ventajas / desventajas del hash sobre el cifrado?

score 2 · Answer 1

Si está intentando catalogar todas las entradas de ataque posibles, crear una lista de todos los campos de entrada de formulario sería incompleto y podría llevarlo a tener una falsa sensación de seguridad. Hay muchos otros orígenes potenciales de ataque (los parámetros en la URL son muy comunes).

Una cosa que me ayudó cuando comencé a ver la seguridad del sitio web fue comenzar a verlo desde el nivel de solicitud HTTP en lugar de un nivel HTML. Si alguien está atacando su sitio, lo más probable es que también lo esté atacando desde el nivel de solicitud HTTP.

Personalmente uso Burp Suite para mis pruebas de seguridad. Tienen una versión gratuita y le proporcionan las herramientas que necesita para recopilar una lista de todas las posibles solicitudes HTTP que se pueden realizar en el sitio.

Además, he encontrado que el Manual de piratería de aplicaciones web es una herramienta muy útil para comprender las vulnerabilidades de seguridad. Específicamente, eche un vistazo al capítulo Web Application Hacker’s Methodology