简而言之,我正在寻找一种工具,可以对Web应用程序进行自动化、零配置、全面的攻击。
我认为这个工具逻辑上应该是一个浏览器扩展程序,既可以爬取给定域/路径上的链接,又可以随机输入数据到表单中并提交。具体来说,表单输入会随机包括各种数据类型、特殊字符、过多的数据、各种字符编码和空值。多线程是必要的(也许一个插件可以使用多个Firefox选项卡)。
该工具不需要(也不应该)对结果做出任何断言或验证任何应用程序行为。相反,持久层(DB记录等)和应用程序日志将用于评估此“测试努力”的结果。
这将是一种补充现有测试工具(Selenium、QuickTestPro)和方法的工具,这些工具和方法可能没有100%的覆盖率。
有没有现有或正在开发的工具建议?如果没有,我很愿意开始一个开源项目。
澄清:我特别不想找渗透测试工具。
更新:我已经创建了一个开源项目来满足这个问题。请查看下面的评论。