这是可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行的命令 ratproxy,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ratproxy - 一种被动的 Web 应用程序安全评估工具
概要
代理 [-w 日志文件[-v 日志目录[-p 端口[-d 域[-P 主机:端口]
[-xtifkgmjscael2XCr]
商品描述
Ratproxy 是一种半自动化的、主要是被动的 Web 应用程序安全审计工具。 这是
旨在补充更常用于此任务的主动爬虫和手动代理,
并且专门针对准确和灵敏的检测进行了优化,并且自动
潜在问题和安全相关设计模式的注释
观察复杂的 Web 2.0 环境中现有的、用户发起的流量。
配置
-w logfile - 将结果写入指定文件(默认值:stdout)
-v logdir - 将 HTTP 跟踪写入指定目录(默认值:无)
-p 端口 - 侦听自定义 TCP 端口(默认值:8080)
-d 域 - 仅分析对指定域的请求(默认值:全部)
-P 主机:端口 - 对所有请求使用上游代理(格式主机:端口)
-r - 接受远程连接(默认值:仅 127.0.0.1)
-l - 使用响应长度,而不是校验和,进行身份检查
-2 - 执行两个而不是一个页面身份检查
-e - 执行迂腐的缓存头检查
-x - 记录所有 XSS 候选者
-t - 记录所有目录遍历候选者
-i - 记录所有内联服务的 PNG 文件
-f - 记录所有 Flash 应用程序以进行分析(添加 -v 反编译)
-s - 记录所有 POST 请求以供分析
-c - 记录所有 cookie 设置 URL 以供分析
-g - 对所有 GET 请求执行 XSRF 令牌检查
-j - 报告有风险的 Javascript 结构
-m - 记录跨域引用的所有活动内容
-X - 破坏性地验证 XSRF、XSS 保护
-C - 尝试自动纠正持续的副作用 -X
-k - 将 HTTP 请求标记为错误(仅适用于 HTTPS 应用程序)
-a - 不加选择地报告所有访问过的 URL
示例
适用于大多数测试的示例设置:
1)低冗长: -v -w -d -lfscm
2)高冗长: -v -w -d -lextifscgjm
3) 主动测试: -v -w -d -XClfscm
多 -d 允许选项。 有关更多信息,请参阅文档。
使用 onworks.net 服务在线使用 Ratproxy
