1. Inicio
  2. Pregunta y respuesta
  3. ¿Herramientas de prueba aleatorias, automatizadas y de configuración cero para aplicaciones web?

¿Herramientas de prueba aleatorias, automatizadas y de configuración cero para aplicaciones web?

2010-01-22 13 views
14

En resumen, estoy buscando una herramienta para llevar a cabo una agresión frontal, cero y con configuración cero en una aplicación web.¿Herramientas de prueba aleatorias, automatizadas y de configuración cero para aplicaciones web?

Estoy pensando que esto lógicamente sería una extensión de navegador que rastrea los enlaces en un dominio/ruta determinada, Y ingresa datos aleatoriamente en formularios y los envía. Específicamente, la entrada del formulario incluiría aleatoriamente varios tipos de datos, caracteres especiales, datos excesivos, varias codificaciones de caracteres y valores nulos. El subprocesamiento múltiple es una necesidad (tal vez un complemento que simplemente utiliza varias pestañas de Firefox).

La herramienta NO (y no debe) debe hacer ninguna afirmación sobre los resultados, ni verificar el comportamiento de ninguna aplicación. En cambio, la capa de persistencia (registros de BD, etc.) y los registros de las aplicaciones se usarían para evaluar los resultados de este "esfuerzo de prueba".

Esta sería una herramienta para complementar las herramientas de prueba existentes (Selenium, QuickTestPro) y las metodologías que pueden no tener una cobertura del 100%.

¿Alguna sugerencia para herramientas existentes o en desarrollo? Si no, estoy ansioso por comenzar un proyecto de código abierto.

CLARIFICACIÓN: Específicamente, no estoy buscando una herramienta de prueba de penetración.

ACTUALIZACIÓN: he fundado un proyecto de código abierto para satisfacer esta pregunta. Ver comentarios a continuación.

Fuente

2010-01-22 Dolph

+0

Dado que no ha habido una sugerencia satisfactoria hasta este punto, he fundado el proyecto FuzzyFox para Firefox: http://code.google.com/p/fuzzyfox/ – Dolph

Respuesta

1

¿Qué pasa con paros? http://www.parosproxy.org/functions.shtml

Fuente

2010-01-23 00:07:46 Toby

+0

Acabo de instalar Paros y lo intenté contra mi proyecto. La prueba de penetración no es específicamente mi objetivo, pero las capacidades de la herramienta están en línea con lo que estoy buscando ... el comportamiento de entrada solo debería cambiarse. – Dolph

2

He utilizado la versión de prueba de Acunetix por un tiempo. Parecía razonablemente efectivo, aunque tardó más de lo que pensé que debería y ciertamente no es de código abierto.

Olvidé cómo se llamaba, y this list at SoftwareQATest es donde lo encontré de nuevo. Esa lista puede ser útil para ti. The list of testing tools at OWASP parece similar a la mano.

Fuente

2010-01-25 12:03:14 keturn

+0

Como mencioné en mi respuesta a la respuesta de Toby, específicamente NO estoy buscando una herramienta de prueba de penetración, ni estoy interesado en que la herramienta evalúe los "resultados"."Sin embargo, le doy un punto para la primera lista, aunque no pude encontrar nada relevante al respecto. – Dolph

+0

Y, sin embargo," los datos ingresados ​​aleatoriamente [...] incluyen varios tipos de datos, caracteres especiales, datos excesivos, varias codificaciones de caracteres y valores nulos "es exactamente lo que una herramienta de prueba de pluma basada en web * hará *. – keturn

+0

_" y ciertamente no es de código abierto "_ Oh, no, ¿cómo podría ser útil entonces? –

2

Parece que una herramienta de prueba de fuzz puede ser lo que necesita; herramientas como Wapiti escanearán su aplicación buscando URL parametrizadas y formularios para completar, y usarán datos generados al azar para ejercitarlos.

Aquí hay un good list de herramientas de fuzzing para aplicaciones web.

Fuente

2010-01-27 17:03:40

+0

Fuzzing es definitivamente el término para lo que estoy buscando, pero ninguna de las herramientas que puedo encontrar (que se describen a sí mismas como tales) ofrece las características básicas que estoy buscando. Están demasiado enfocadas en la seguridad, produciendo entradas definidas de forma limitada, y analizando la respuesta de la aplicación. Estoy más interesado en simular un usuario insano, no uno malicioso. – Dolph

1

No estoy seguro de que he encontré con anyting que encaja a la perfección con exactitud, pero Sulley está bastante cerca ...

http://code.google.com/p/sulley/

nunca he utilizado es de primera mano, pero yo' he oído mencionarlo. Además, tal vez mira esto:

http://www.owasp.org/index.php/Category:OWASP_JBroFuzz

Fuente

2010-02-01 16:58:21 Dave

+0

Probé ambos a través de la respuesta de keturn, y ninguno estuvo en lo cierto. Parece que voy a rodar mi propia solución como una abeto de código abierto Complemento de efox en el futuro cercano. ¡Gracias! – Dolph

Cuestiones relacionadas

 Cuestiones relacionadas