的 认证测试仪 是构成 Acunetix手动笔测试工具 套件(可免费下载)。身份验证测试器允许您通过运行在线词典攻击来测试HTTP身份验证以及基于HTML表单的自定义身份验证中使用的凭据的强度。
您可以通过以下方式开始使用身份验证测试器: Acunetix工具 应用程序,然后选择 认证测试仪 从工具浏览器。
您可以在认证测试仪的顶部窗格中配置该工具。底部窗格显示有效的用户名和密码。
测试HTTP身份验证
HTTP 身份验证是HTTP规范的一部分。如果站点执行HTTP身份验证,则浏览器将显示一个用户名和密码弹出对话框。使用HTTP身份验证,Web服务器将根据用户数据库验证登录名(使用Microsoft IIS,这是本地Windows用户帐户;使用Apache HTTP Server,则将它们存储在文件中)。
首先,请在目标网址中输入目标网址(例如www.example.com/secret/)。 目标网址 测试文本框,然后选择 HTTP 作为用于攻击的身份验证方法。
将使用默认词典。您还可以通过指定包含尝试登录的用户名或密码列表的纯文本文件的完整路径,来指定自己的用户名和密码字典。您还可以指定其他失败条件。支持的失败条件包括 HTTP 状态码为,结果包含,结果匹配正则表达式。
点击 开始 按钮以启动字典攻击。
测试基于表单的身份验证
身份验证测试器也可以用于测试基于HTML表单的身份验证。
要测试基于表单的身份验证机制,请选择 基于HTML表单 在里面 身份验证方法 下拉菜单,然后单击 选择..。按钮。
在里面 从URL解析Web表单 屏幕上,应用程序将显示目标页面中包含的所有可用字段。通过单击字段并单击,以表示代表用户名的表单字段 用户名按钮。您还必须通过单击该字段,然后单击 密码 窗口底部的按钮。
必须指示身份验证测试器什么构成失败的登录页面,以便它在成功登录后实现适当的行为。
使用Web浏览器,尝试登录页面以生成登录错误,并记下指示登录失败的文本。组 如果登录失败 至 结果包含 并在输入文本框中复制表示登录失败的文本。
正则表达式也可以通过选择来指定 结果匹配正则表达式。点击 开始 按钮启动针对Web表单的字典攻击。
Acunetix是一个自动化的Web应用程序安全扫描程序和漏洞管理平台。此外,Acunetix还提供了一套手动笔测工具,使用户可以快速,轻松地进行确认并进一步进行自动测试。
通过: 伊恩·马斯卡特