攻击性Web测试框架(OWTF)是OWASP + PTES的重点,旨在联合优秀的工具使渗透测试更加高效,主要由Python编写
OWASP OWTF是一个专注于渗透测试效率和安全测试与OWASP测试指南(v3和v4),OWASP Top 10,PTES和NIST等安全标准一致的项目,因此测试者将有更多时间来
看大图,想出来
更有效地查找,验证和组合漏洞
有时间调查复杂的漏洞,如业务逻辑/架构漏洞或虚拟主机会话
对看起来有风险的地区进行更多的战术/目标模糊测试
尽管我们通常会给予测试的时间很短,但仍能证明真实的影响。
该工具是高度可配置的,任何人都可以简单地创建简单的插件或在配置文件中添加新测试,而无需任何开发经验。
注意:这个工具不是一个silverbullet,只会和使用它的人一样好:理解和经验将需要正确解释工具的输出,并决定进一步调查什么,以展示影响。
特征
弹性:如果一个工具崩溃OWTF,将移动到下一个工具/测试,保存该工具的部分输出,直到它崩溃。 OWTF还允许您监视工作进程和估计的插件运行时间。
灵活性:如果您的互联网连接或目标主机在评估过程中出现故障,您可以暂停相关工作进程并稍后恢复,以避免数据丢失。
测试分离:OWTF将其目标流量分为3类插件:
被动:没有流量进入目标
半被动:正常流量到达目标
活动:直接漏洞探测
诸如被动和半静态测试分离等一些功能还可以帮助笔试者进一步发挥先锋作用,甚至可以合法地开始撰写报告或准备攻击,然后让他们接受绿灯测试。
ReST API:OWTF使用PostgreSQL作为数据库后端。所有核心OWTF功能和选项都通过ReST API公开,使得轻松添加新功能变得非常容易。
遵循流行笔测试标准:
OWTF将尽可能地将研究结果分类到OWASP测试指南。它还支持NIST和PTES标准。
PlugnHack v2支持:PlugnHack是Mozilla安全团队提出的标准,用于定义安全工具如何以更有用和更实用的方式与浏览器交互。
Zest和OWASP-ZAP集成:Zest是一个由Mozilla安全团队开发的实验性专用脚本语言(特定领域),旨在用于面向Web的安全工具。
响应式Web界面:OWTF现在具有默认的Web界面,该界面集成了所有核心OWTF选项,并可以轻松管理大笔测试。
交互式报告即时更新:
工具输出中的自动插件排名,可由用户完全配置。
可配置的风险排名
每个插件的在线笔记编辑器。
要求
目前,OWTF在Linux上得到了开发和支持,并为Kali Linux(1.x和2.x)提供了开箱即用的支持。
OWTF是为Python 2.7开发的,因此它可能无法在较早的Python版本上按预期运行。
有关第三方库要求的更多信息,请参阅要求。
安装
推荐的:
wget -N https://raw.githubusercontent.com/owtf/bootstrap-script/master/bootstrap.sh; bash bootstrap.sh
或者干脆git克隆https://github.com/owtf/owtf.git; cd owtf /; python2 install / install.py
要在Windows或MacOS上运行OWTF,请使用提供的Dockerfile(需要安装Docker)来尝试OWTF:
$ docker build -t owtf-dev。
$ docker run -it -p 8009:8009 -p 8008:8008 -p 8010:8010 -v〜/ path_to_OWTF_on_host:/ owtf owtf-dev / bin / bash
打开〜/ .owtf /配置并将SERVER_ADDR:127.0.0.1更改为SERVER_ADDR:0.0.0.0。
运行owtf
为OWTF webUI打开localhost:8009。
攻击性Web测试框架(OWTF)是OWASP + PTES的重点,旨在联合优秀的工具使渗透测试更加高效,主要由Python编写相关推荐
- Noejs Mocha测试框架
ㅤㅤㅤ ㅤㅤㅤ ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ(不应当急于求成,应当去熟悉自己的研究对象,锲而不舍,时间会成全一切.凡事开始最难,然而更难的是何以善终.--莎士比亚) ㅤㅤㅤ ㅤㅤㅤ ㅤㅤㅤㅤㅤㅤㅤㅤ ...
- Kali Linux 和 渗透测试
From:http://www.anquan.us/static/drops/tips-826.html 作为一个渗透测试学习者必知必读的好书推荐:https://zhuanlan.zhihu.com ...
- 万字渗透测试入门知识点,自学查漏补缺
后续慢慢更新各个知识点的内容~ 知识点目录 渗透工具环境安装 Java环境安装 Python环境安装 Kali Linux配置与使用 VMware安装kali VMware虚拟网络编辑 Linux使用 ...
- metasploit 一款开源的渗透测试框架
渗透神器漏洞利用框架metasploit from: https://zhuanlan.zhihu.com/p/30743401 metasploit是一款开源的渗透测试框架软件也是一个逐步发展与成熟 ...
- python测试框架数据生成工具最全资源汇总
xUnit frameworks 单元测试框架 frameworks 框架 unittest - python自带的单元测试库,开箱即用 unittest2 - 加强版的单元测试框架,适用于Pytho ...
- python制作考试系统_python测试框架数据生成工具最全资源汇总
xUnit frameworks 单元测试框架 frameworks 框架 unittest - python自带的单元测试库,开箱即用 unittest2 - 加强版的单元测试框架,适用于Pytho ...
- ruby语言开源Web应用框架 Ruby on Rails 简介
目录 Ruby on Rails是什么 历史 Rails 的 MVC 架构 Web 服务器支持 数据库支持 系统要求 集成开发环境 Ruby on Rails是什么 Ruby on Rails(官方简 ...
- Metasploit渗透测试框架
Metasploit渗透测试框架 渗透测试是一类有目的性的.针对目标机构计算机系统安全的监测评估方法.渗透测试可以发现系统的漏洞和安全机制方面的隐患,并以此进行渗透攻击来取得目标计算机的控制权.通过渗 ...
- 小白入坑 Web 渗透测试必备指南
小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经 ...
- Kali Linux Web 渗透测试秘籍 第八章 中间人攻击
第八章 中间人攻击 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 中间人(MITM)攻击是一种攻击类型,其中攻击者将它自己放到两方之 ...
最新文章
- 什么是以太坊?它到底怎么运作的?
- 在LINUX中部署Apache
- 可变数组NSMutableArray
- 使用 pylint 检测python代码质量(sonar-scanner调用pylint,然后数据交给sonar服务器)
- php config(),php config
- 异步懒加载和彻底懒加载
- 2021年考计算机考研三战,2021考研的小伙伴有3条忠告一定要记得,这些都是历年实战经验...
- mysql实习报告总结_MySQL上机实习报告(一)
- android canvas_Android 自定义View篇(七)实现环形进度条效果
- 怎么把AI文件导入到PS里面
- rc6 java_NativeScript Telerik UI RC6
- jQuery 鼠标事件
- 太阳换ip软件_[动态IP]太阳动态IP加速器v3.3.8会员版
- 英雄联盟自定义局怎么和其他服务器的玩家玩,英雄联盟自定义为什么没有玩家进来...
- 3-1 列表的基本操作
- 技嘉电脑怎么开启vt模式?
- VisualVm的理解
- 【GANs】Deep Convolution Generative Adversarial Network
- 官宣!微软跨平台 UI 框架 .NET MAUI 6 正式发布!
- html左侧下拉输入选项菜单栏,怎么实现html可输入下拉菜单