Web应用程序渗透测试工具IronWASP

IronWASP是一款优秀的web应用程序高级安全性的测试平台，是开源的系统，主要用户测试Web应用程序的漏洞。这个工具是非常简单易用的，初学者可以使用。如果用户对python和ruby比较了解的话，还开源用这个工具创建自定义的扫描。

这个工具的另外一大优势是，它使用各种外部库，使之更加强大，包括一下外部库：

• FiddleCore
• IronPython
• IronRuby
• Jint
• System.Data.SQLite
• Html Agility Pack
• ICSharpCode.TextEditor
• Json.NET
• Diffplex
• jsbeautifylib
• Diff.cs

工具的下载地址如下：http://ironwasp.org/download.html

入门：

下载安装好之后，打开IronWASP文件夹中的应用程序，该文件夹还附带一个演示应用程序，可以用来对该工具有一个初步的了解。打开IronWASP文件夹中的DemoAPP,开始设置端口，设置好之后，点击"Start server"按钮，并在浏览器里如何本地主机IP:端口号，就可以在浏览器上浏览应用程序的演示。

这款工具有两种不同的扫描模式，这款工具有一个有效的抓取工具，方便找到更多的网站程序设计缺陷等。

点击“start scan”按钮，该工具将开始抓取的网站，并有针对性的寻找网站漏洞。一旦检测到
漏洞，根据影响的不同，划分为高、中、低三个等级。

这款工具的另外一个特点是，可以停用或者启动Plugins标签下的插件，在需要禁用或启用插件上单击鼠标右键就可以进行启用和停用。

单击所需要的URL，并选择扫描的分支选项，可以进一步扫描分支的URL.

这款工具还有一个特点，它有python和ruby语言shell脚本的支持功能，使用者可以自己写模糊测试工具，

创建自定义的扫描请求，日志分析等。

在此工具中，有两种类型的插件，一种是被动的，另外一种被称你为plug-ins。

被动插件通常用于分析和修改等，以便找到漏洞，如扫描寻找sql注入和跨站脚本执行漏洞.这个工具

也有自己的会话插件，可以根据我们扫描的网站类型来使用.因为网站总会有一些变化，这些变化不会被自动扫描器

捕获，渗透测试人员可以通过其它可手动编辑的积极插件进行测试。

Javascript的静态分析：

IronWASP具有称为Javascript的静态分析可用于查找基于DOM的XSS的其他选项。该工具还具有其他工具，如编码器/解码器，HTML解析器等。