会员服务

Watcher - 被动Web应用程序漏洞扫描程序

2019 年 4 月 15 日 黑白之道



Watcher是基于HTTP的Web应用程序的运行时被动分析工具。被动意味着它不会损害生产系统,在云计算,共享托管和专用托管环境中使用它是完全安全的。 

它可以检测Web应用程序安全性问题以及操作配置问题。Watcher为漏洞,开发人员快速健全性检查以及审计员PCI合规性审计提供笔测试者热点检测。它查找与mashup,用户控制的有效负载(潜在的XSS),cookie,注释,HTTP标头,SSL,Flash,Silverlight,引用者泄漏,信息泄露,Unicode等相关的问题。

主要特点:

  • 在HTTP,HTML,Javascript,CSS和开发框架(例如ASP.NET,JavaServer)中被动检测安全性,隐私和PCI合规性问题

  • 在您驱动Web浏览器的同时,可以与复杂的Web 2.0应用程序无缝协作

  • 非侵入式,不会引发警报或损坏生产现场

  • 实时分析和报告 - 在发现结果时报告,可导出到XML,HTML和Team Foundation Server(TFS)

  • 具有通配符支持的可配置域

  • 用于添加新检查的可扩展框架


Watcher是作为Fiddler HTTP调试代理的插件构建的,可在www.fiddlertool.com上找到。Fiddler提供了良好的Web / HTTP代理的所有丰富功能。使用Fiddler,您可以捕获所有HTTP流量,拦截和修改,重放请求等等。Fiddler为Watcher提供HTTP代理框架,允许与当今复杂的Web 2.0或Rich Internet Applications无缝集成。当您驾驶浏览器并与Web应用程序交互时,Watcher会在后台静默运行。

Watcher是用C#构建的一个小框架,已包含30多个检查。它的构建使得可以轻松创建新的检查以执行特定于组织策略的自定义审核,或执行更多通用的安全性评估。 
Watcher目前将识别的问题类型的示例:

  • ASP.NET VIEWSTATE不安全的配置

  • JavaServer MyFaces ViewState没有加密保护

  • 跨域样式表和javascript引用

  • 用户可控的跨域引用

  • 用户可控制的属性值,例如href,表单操作等。

  • 用户可控的javascript事件(例如onclick)

  • 跨域表单POST

  • 不设置HTTPOnly或安全标志的不安全cookie

  • 打开可被垃圾邮件制造者和网络钓鱼者滥用的重定向

  • 不安全的Flash对象参数,可用于跨站点脚本

  • 不安全的Flash crossdomain.xml

  • 不安全的Silverlight clientaccesspolicy.xml

  • 可能引入漏洞的Charset声明(非UTF-8)

  • 用户可控制的字符集声明

  • HTTP和HTTPS之间的危险上下文切换

  • 涉及私有数据时缓存控制头的使用不足(例如,无商店)

  • 潜在的HTTP引用漏洞敏感的用户信息

  • URL参数中潜在的信息泄漏

  • 源代码评论值得仔细研究

  • 不安全的身份验证协议,如Digest和Basic

  • SSL证书验证错误

  • SSL不安全协议问题(允许SSL v2)

  • 无效字节流的Unicode问题

  • Sharepoint不安全检查

  • 更多…


Watcher将结果写入ListView,其中包括Severity,SessionID,Title和URL。完整报告可以导出到XML文件。 


如何安装Watcher注意:您必须在计算机上安装Fiddler。在安装Watcher之前,Fiddler必须至少运行一次。 

您所要做的就是运行WatcherSetup.exe安装程序或打开。将CasabaSecurity.Web.Watcher.Checks.dll和CasabaSecurity.Web.Watcher.dll 压缩并复制到Fiddler的' scripts '文件夹中。

下载地址:https://archive.codeplex.com/?p=websecuritytool

你可能喜欢

Acunetix - Web漏洞扫描程序

V3n0M - 开源漏洞扫描程序

Qualys BrowserCheck - 在线安全扫描程序

登录查看更多
0

相关内容

【2020新书】实战R语言4,323页pdf
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python技术手册,第三版767页pdf
【实用书】Python技术手册,第三版767页pdf
专知会员服务
235+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
专知会员服务
69+阅读 · 2020年3月25日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
164+阅读 · 2020年3月18日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
专知会员服务
51+阅读 · 2020年1月30日
安全和健壮的医疗机器学习综述,附22页pdf
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
14+阅读 · 2019年11月13日
【O'Reilly AI Conference 2019】大规模构建和部署AI应用程序和系统(Building and deploying AI applications and systems at scale),O'Reilly的首席数据科学家Ben Lorica、Computable 联合创始人兼首席执行官Roger Chen
【O'Reilly AI Conference 2019】大规模构建和部署AI应用程序和系统(Building and deploying AI applications and systems at scale),O'Reilly的首席数据科学家Ben Lorica、Computable 联合创始人兼首席执行官Roger Chen
专知会员服务
23+阅读 · 2019年11月5日
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
I2P - 适用于黑客的Android应用程序
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
What's in a Name? Reducing Bias in Bios without Access to Protected Attributes
Arxiv
3+阅读 · 2019年4月10日
Learning to Propagate Labels: Transductive Propagation Network for Few-shot Learning
Arxiv
21+阅读 · 2018年12月25日
3D-LaneNet: end-to-end 3D multiple lane detection
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
RippleNet: Propagating User Preferences on the Knowledge Graph for Recommender Systems
RippleNet: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
7+阅读 · 2018年8月7日
Video Object Detection with an Aligned Spatial-Temporal Memory
Video Object Detection with an Aligned Spatial-Temporal Memory
Arxiv
4+阅读 · 2018年7月27日
Variational Inference In Pachinko Allocation Machines
Arxiv
8+阅读 · 2018年4月21日
Watch, Listen, and Describe: Globally and Locally Aligned Cross-Modal Attentions for Video Captioning
Arxiv
6+阅读 · 2018年4月15日
Dual Attention Matching Network for Context-Aware Feature Sequence based Person Re-Identification
Arxiv
5+阅读 · 2018年3月27日
Information and Environment: IoT-Powered Recommender Systems
Arxiv
5+阅读 · 2018年2月28日
Sequence-Aware Recommender Systems
Arxiv
8+阅读 · 2018年2月23日
VIP会员
相关主题
Silverlight
SSL
Adobe Flash
Cookie
ML
ASP.NET
相关VIP内容
【2020新书】实战R语言4,323页pdf
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python技术手册,第三版767页pdf
【实用书】Python技术手册,第三版767页pdf
专知会员服务
235+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
【2020新书】MySQL 8查询性能调优,974页pdf,一种提高执行速度的系统方法
专知会员服务
69+阅读 · 2020年3月25日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
164+阅读 · 2020年3月18日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
专知会员服务
51+阅读 · 2020年1月30日
安全和健壮的医疗机器学习综述,附22页pdf
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
14+阅读 · 2019年11月13日
【O'Reilly AI Conference 2019】大规模构建和部署AI应用程序和系统(Building and deploying AI applications and systems at scale),O'Reilly的首席数据科学家Ben Lorica、Computable 联合创始人兼首席执行官Roger Chen
【O'Reilly AI Conference 2019】大规模构建和部署AI应用程序和系统(Building and deploying AI applications and systems at scale),O'Reilly的首席数据科学家Ben Lorica、Computable 联合创始人兼首席执行官Roger Chen
专知会员服务
23+阅读 · 2019年11月5日
热门VIP内容
相关资讯
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
I2P - 适用于黑客的Android应用程序
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
相关论文
What's in a Name? Reducing Bias in Bios without Access to Protected Attributes
Arxiv
3+阅读 · 2019年4月10日
Learning to Propagate Labels: Transductive Propagation Network for Few-shot Learning
Arxiv
21+阅读 · 2018年12月25日
3D-LaneNet: end-to-end 3D multiple lane detection
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
RippleNet: Propagating User Preferences on the Knowledge Graph for Recommender Systems
RippleNet: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
7+阅读 · 2018年8月7日
Video Object Detection with an Aligned Spatial-Temporal Memory
Video Object Detection with an Aligned Spatial-Temporal Memory
Arxiv
4+阅读 · 2018年7月27日
Variational Inference In Pachinko Allocation Machines
Arxiv
8+阅读 · 2018年4月21日
Watch, Listen, and Describe: Globally and Locally Aligned Cross-Modal Attentions for Video Captioning
Arxiv
6+阅读 · 2018年4月15日
Dual Attention Matching Network for Context-Aware Feature Sequence based Person Re-Identification
Arxiv
5+阅读 · 2018年3月27日
Information and Environment: IoT-Powered Recommender Systems
Arxiv
5+阅读 · 2018年2月28日
Sequence-Aware Recommender Systems
Arxiv
8+阅读 · 2018年2月23日
大家都在搜
  1. palantir
  2. 洛克菲勒
  3. 大规模语言模型
  4. CMU博士论文
  5. 技术报告
  6. 自主可控
  7. EWPMT
  8. 波士顿动力
  9. 路径规划
  10. 社区分享 | 用 PoseNet + TensorFlow.js 在浏览器实现体感游戏
    11.
Top
微信扫码咨询专知VIP会员
Top