免费DDoS攻击测试工具大合集

DoS(Denial Of Service)攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃(关于DDoS更多认识请点击这里)。然而随着网络上免费的可用DDoS工具增多,DoS攻击也日益增长,下面介绍几款Hacker常用的DoS攻击工具。 特别提示:仅用于攻防演练及教学测试用途,禁止非法使用。 1、卢瓦(LOIC) (Low Orbit Ion Canon) LOTC是一个最受欢迎的DOS攻击工具。 这个工具被去年流行的黑客集团匿名者用于对许多大公司的网络攻击。 它可以通过 […]

SSDP:DDoS攻击的“新宠”

新的研究表明由于越来越多的攻击者将简单服务发现协议(Simple Service Discovery Protocol, SSDP)作为目标进行攻击,上个季度DDoS攻击的平均规模持续增长,可预计将会有更多的企业遭到DDoS攻击。 DDoS攻击防护服务提供商Verisign公司总部位于弗吉尼亚州的雷斯顿,其第三季度分布式拒绝服务趋势报告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS攻击的企业客户的数据。Verisign公司发现从第二季度到第三季度,DDoS攻击带宽超过10Gbps情况增长了38%,而且仅仅占Verisign攻击 […]

黑盒审计之注入漏洞挖掘思路

一、注入漏洞简介 注入漏洞是web应用中最常见的安全漏洞之一,由于一些程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句,从而导致注入漏洞的产生。 攻击者通过SQL注入可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作。常见的建站系统出现SQL注入漏洞风险概率是非常高的,而本文就SQL注入漏洞的挖掘方法和大家分享交流,其他web安全漏洞暂不做探讨。

【安全测试】防御XSS攻击的七条原则

本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依然会执行它。对于浏览器而言,它认为这段脚本是来自可以信任的服务器的,所以脚本可以光明正大地访问Cookie,或者保存在浏览器里被当前网站所用的敏感信息,甚至可以知道用户电脑安装了哪些软件。这些脚本还可以改写HTML页面,进行钓鱼攻击。 虽然产生XSS漏洞的原因 […]

【安全测试】Web十大安全隐患之SQL注入

注入往往是应用程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入,OS Shell,LDAP,Xpath,Hibernate等等,而其中SQL注入尤为常见。这种攻击所造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入,攻击者甚至能够获得更多的包括管理员的权限。 先来说说sql注入漏洞是怎么产生的,或者说对于一个程序开发人员应该怎么防范SQL注入的吧。

【安全测试】为什么要进行安全性测试?(安全性测试启蒙教育)

安全性测试都有什么?简单的就包括跳过权限验证啊,修改提交信息啊,复杂的呢,就有sql盲注、跨站点脚本等等。这些咱们暂时不一一细表,只说说我们为什么要进行安全性测试。 其实网上关于安全性测试的资料并不是非常多,即使有人关注已只是很浅显的谈到部门安全性因素。当然,据我了解部分大公司都有自己的安全性测试团队,这部分工作并不由测试人员进行。 胡扯了两句,今天我们来聊聊为什么进行安全性测试,或者说,安全性到底会引起哪些问题、后果。

【安全测试】大家应该避免遗漏的测试

下面的场景,用安全测试工具是扫不出问题的,因为问题不是出现在技术层面,而是业务层面,也就是功能测试需要去cover掉的部分。但是在你我的功能测试阶段,这些问题是很有可能被忽略掉的,所以,我在这里要抛砖引玉,以唤起更多人的注意: 1. 一个卖家的账号被盗取了,强盗给店家的宝贝设置了三种打折活动,致使买家在购买商品的时候,如果同时选择参加这三种活动的话,不但不需要付费,还能从卖家那里得到钱——这个问题,如果在功能测试阶段,添加这种折扣活动累加的测试用例,就会及时发现这种问题。但有时候,可能开发人员会质疑说,卖家不会这么傻,这么设置活动的——买的没有卖的精,是测试想太多了,所以,并没有对折扣活动的累 […]

【安全测试】Web十大安全隐患之XSS跨站脚本

今天我们来介绍另外一种较为严重的安全隐患–XSS跨站脚本攻击。首先咱们来说什么是跨站脚本攻击。它的英文叫“CrossSite Scripting”,通俗点说就是攻击者向web页面里跨站的插入恶意html代码,那么当用户浏览该页的时候,嵌入到web中的html代码就会被执行。我们经常看到的重定向啊,以及一些钓鱼网站,大多数利用的就是这种技术。比如有个广告,里边网址是item.taobao.com/.xxxx的,是某个人在某论坛发的广告链接,你觉得东西很便宜啊,又是淘宝的,有保障,就点击进去了。其实呢,它会redirect到另一个攻击者自己的网站,你在上面通过他的接口付款时候,就会不小 […]

【工具】8款非常有用的免费Web安全测试工具

随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试工具。 N-Stalker Free Version N-Stalker Web 应用程序安全2012免费版本能够为您的 Web 应用程序清除该环境中大量常见的漏洞,包括跨站脚本(XSS)、SQL 注入(SQL i […]