分析工具:
抓包工具:Wireshark(最常用)、httpwatch、tcpdump
Burp Suite:常用的http分析工具,有很邪恶的用法;
Fiddler:主要监视http和https,用得不多;
漏洞扫描工具:
appscan:业内最常用的一个工具,资料很多 http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html
Acunetix:很常用的工具,做SQL注入和漏洞扫描
Websecurify:开源的工具,不好用……
drozer:手机端安全扫描工具,刚刚了解,据说很棒。https://www.mwrinfosecurity.com/products/drozer
十个安全测试工具:看着玩儿吧……
http://netsecurity.51cto.com/art/201304/391229.htm http://www.freebuf.com/tools/26503.html
最后一招:
乌云:去乌云看看哪里被攻击了,然后给人家钱。没人攻击的话,请反省下自己的影响力…… http://www.wooyun.org
![你必须知道5个软件测试发展阶段[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)