我正在Apache服务器上实现mod_security 。 为了testing保护的有效性,我正在寻找一个可以生成一组预定义的恶意HTTP请求的客户端。 我将testing启用和未启用mod_security的请求,并根据日志查看恶意请求被阻止的百分比。
你知道任何好的工具来生成一组预定义的恶意HTTP请求吗?
那里有几个免费/开源的选项。 我的一位好友是Web应用程序笔testing人员,他们没有使用这些工具(除了Nessus,但只有Professional Feed),因为他们的工具集相当复杂,并且包含许多未发布的零日漏洞利用。 但是,它们非常昂贵,需要购买某些authentication/资格证书。
尽pipe这些工具可能并不是纯粹的,但是零时差漏洞扫描仍然存在,但是仍然有很多已知的漏洞每天都被利用,所以这肯定会让你很清楚潜在的漏洞。在您的系统上易受攻击,利用与否(例如,查找未清理的参数,任何错误configuration等)。
Nessus (专业饲料是> 1000美元/年,但免费版本仍然有相当多的漏洞)
Metasploit框架
麋鹿
Nikto2
SkipFish
你可能不知道的一些事情:
一些扫描仪具有节streamfunction,但由于需求量巨大,最好:
a)在快速networking(LAN)上testing您的Web应用程序;
b)显然这个Web应用程序不应该在生产中,如果是的话,我会运行一个testing数据集;
c)有足够的资源进行logging(或完全禁用)。
您可能还需要定期检查在线漏洞数据库以查找已知的漏洞; 我定期search我要托pipe的任何开源Web应用程序,并根据需要禁用或修补(我在看你Joomla )。