web渗透java工具,java渗透技术

导航：

• 1、javaweb需要什么开发工具
• 2、Web渗透是怎么弄的？
• 3、java web开发工具有哪些
• 4、web渗透测试工具
• 5、java web的开发用什么开发工具？

javaweb需要什么开发工具

这两个工具的实质是一样的，myeclipse的底层就是eclipse，只是封装了一层web开发用的组件，eclipse是免费的，而myeclipse是要收费的，但是现在网上有很多破解版。做web开发一般都用myeclipse。

Web渗透是怎么弄的？

1.渗透目标

渗透网站（这里指定为）

切记，在渗透之前要签订协议。

2.信息收集

建议手动检查和扫描器选择同时进行。

2.1 网站常规检测（手动）

1：浏览

1. 初步确定网站的类型：例如银行，医院，政府等。

2. 查看网站功能模，比如是否有论坛，邮箱等。

3. 重点记录网站所有的输入点（与数据库交互的页面），比如用户登录，用户注册，留言板等。4. 重点查看网站是否用到web渗透java工具了一些通用的模板，比如论坛选择web渗透java工具了动网(dvbss)，就有可能存在动网的漏洞；邮箱有可能选择通用的邮箱系统，也有漏洞。

2: 分析网站的url1. 利用搜索引擎,搜索网站的url,快速找到网站的动态页面。

2. 对网站的域名进行反查，查看IP，确定服务器上的域名数，如果主页面url检测没有漏洞，可以对其web渗透java工具他的域名进行检测。

3：审查代码

重点对输入代码（比如表单）进行分析，看如何来提交输入，客户端做了哪些输入的限制方法。

1. 隐藏表单字段 hidden

2. Username,Password等

4：控件分析

Active x 通常都是用c/c++编写

在页面上（通常是首页）的源码中搜索

1. 需要ComRaider+OD 对dll文件进行反编译，看是否有漏洞。

2. 改变程序执行的路径，破坏Active X 实施的输入确认，看web的回应。

5：对常规的输入进行手动注入测试，测试是否有sql注入和跨站漏洞，试用常规的用户名和密码登录。

6：查看web服务器的版本，确定搜索是否有低版本服务器组件和框架的漏洞，比如通用的Java框架Struct2的漏洞。

2.2 工具选择和使用

1：web应用程序漏洞扫描工具

Appscan: （版本7.8）

扫描漏洞比较全，中文，漏洞利用率高，检测速度慢，需要大量内存，重点推荐。

AWVS:

英文，漏洞库完善，检测速度慢。

JSky

中文，检测速度快，但深度一般。

Nessus

英文，检测速度较快，漏洞也比较完善，免费，可及时更新，B/S界面。

2：端口扫描

Nmap

流光

3: 口令破解工具

溯雪

4：sql 注入工具

Asp+SqlServe, ACCESS：啊D注入工具

Php+MySQL : php+mysql注入工具（暗组的hacker栏中）

Jsp+ORACAL: CnsaferSI

支持以上数据库 Pangolin

5: http代理请求

Paros

6:木马

灰鸽子

7：提权木马

一句话木马大马（具体所用的木马参考文档和工具包（绿盟，暗组））

5: 工具推荐使用方案

Appscan扫描出的重大漏洞，进行手工检测（注意看漏洞是如何发现的，修改漏洞的代码，对渗透帮助很大）。

sql注入漏洞

可以选用根据网站类型选择sql注入工具

如果是post请求类型的url，选择使用paros代理后，修改http请求包，进行注入。

WebDEV漏洞

可以启用发送请求（比如DELETE对方网页）

跨站漏洞

直接将appscan的代码输入测试，成功后，可以尝试跨其web渗透java工具他脚本（比如

遍历漏洞:

网页的目录，下载网站配置文件信息，和源文件进行反编译

反编译：

Class 可以选用java 反编译工具

Dll (asp.net) 选用Reflector

3.分析并渗透

---------------------

作者：centos2015

来源：CSDN

原文：

版权声明：本文为博主原创文章，转载请附上博文链接web渗透java工具！

java web开发工具有哪些

1. JDK（Java开发工具包）

如果你打算用Java开发一些小程序和应用程序，那么首先得给自己准备一个类似于JDK的工具，其中包括必要的Java Complier、Java Runtime Environment（JRE）和Java API。这是开始Java之旅的第一步。

2. Eclipse IDE

如果咨询一些经验丰富的Java开发人员关于他们最喜欢的Java Integrated Development Environment（IDE）是什么，不少人会告诉你是Eclipse IDE。 Eclipse能提供关于代码完成、重构和语法检查这些急需的帮助。它还能提供JDT的一系列工具，包括各种插件工具来帮助开发各种Java应用。

此IDE的真正优势是它允许开发人员使用不同的语言支持，如它也可以提供C/ C++和PHP 的IDE。这使得它成为了Java开发的一个一站式资源。

3.NetBeans

这又是一个IDE，提供了功能全面的阵列，如转换器，编辑器和代码分析器，这些工具可以帮助你使用最新的Java技术实现应用程序。工具范围相当广泛，而且IDE背后的团队也在不断地改进。此外你还可以得到静态分析工具的帮助——编写出无bug的代码。

4. IntelliJ IDEA 13.1

据传它有“最智慧的java ide”之称。如果你尝试过后，就会发现它所言不虚，因为它能帮助开发人员拿出最具有创造性的解决方案。它的“Smart Code Completion”和“On-the-fly Code Analysis”功能等可以提高开发人员的工作效率，并且还提供了对web和移动开发高级支持。所以，不妨试试这个好助手。

5.Oracle JDeveloper

如果你正在寻找一个免费的IDE来构建一个面向服务的架构，那没有比JDeveloper更好的了。它支持完整的开发生命周期，这意味着你可以放心自豪名正言顺地使用ava解决方案。

6. JUnit

这是一个可以帮助开发人员编写和运行测试的单元测试框架。但是JUnit和市场上一些类似的框架还有着本质的区别。你可以一次测试一个代码块，而不需要等待该模块在运行测试前完成。实际上就是你可以“先测试，然后写代码”，这意味着对于应用程序的最终功能如何你可以先放下心中的大石了。

7. Apache ANT™

这是一个开源工具，其最大的优势就是简单。关键是可以实现开发人员处理复杂和重复性任务的目标。ANT™，可以自动执行此类任务。这还只是其众多简化功能之一而已。

8. JRAT（Java Runtime Analysis Toolkit）

如果你想要评测应用程序的性能，那么就必须具备JRAT这个分析工具。有了这个工具，你可以找出潜在的可能会影响应用程序性能的问题域。

9.Apache JMeter™

这是Apache的另一种工具，主要用于测试。它可以评测功能行为以及网站、数据库、Web服务等的性能。它有一个易于理解的GUI，这一事实意味着你可以轻松地构建测试计划并迅速调试应用程序。

10.Apache Maven

上面曾提到过Apache ANT™，而现在的Maven能帮助你做同样的事情。不过，很多开发人员表示相比ANT™，Maven前进了一大步。在依赖管理、构建行动、调试和协作方面，它都比ANT™略高一筹。简单地说，如果你正在使用ANT™，那么你需要告诉它到底应该怎么做：你需要提供资源的确切位置，分配生成的位元码的存储位置以及用JAR文件打包。

Maven，换句话说，则简化了这些东西。

11.Gradle

如果你想要有这样一种工具，可以结合ANT™和Maven的优点，那么你一定会喜欢Gradle。有了Gradle，你就可以在Groovy编码——这是一个巨大的优势，因为它允许你编写任何代码。这个工具的第二大优势是，它支持惯例优先配置的模式。

12.Clover

该工具提供了Java和Groovy代码覆盖。Clover能让你直接瞄准问题可能性最大的部分，确保测试侧重于特定代码。

13.YourKit

这是一个Java分析工具，允许在开发或生产过程中按需分析：这意味着你可以确保你的产品符合最高的质量标准。按需分析指的是，被分析的应用程序可以在不产生任何费用的情况下运行。

14.Mockito

如果你想用干净和简单的API编写测试，Mockito应该就是你的首选。Mockito本质上是一个模拟库，可以帮助你创建、验证和清除模块——Java开发的几个重要方面。

15. FindBugs的™

Java代码有bug？如何才能找到它们呢？——没错，就是FindBugs的™。它不但免费，还易于操作，真心很不错！

web渗透测试工具

第一个：NST

NST一套免费的开源应用程序web渗透java工具，是一个基于Fedora的Linux发行版web渗透java工具，可在32和64位平台上运行。这个可启动的Live

CD是用于监视、分析和维护计算机网络上的安全性;它可以很容易地将X86系统转换为肉机，这有助于入侵检测，网络流量嗅探，网络数据包生成，网络/主机扫描等。

第二个：NMAP

NMAP是发现企业网络中任何类型的弱点或漏洞的绝佳工具，它也是审计的好工具。该工具的作用是获取原始数据包并确定哪些主机在网络的特定段上可用，正在使用什么操作系统，以及识别特定主机的数据包防火墙或过滤器的不同类型和版本正在使用。NMAP对渗透测试过程的任何阶段都很有用并且还是免费的。

第三个：BeEF工具

BeEF工具主要利用移动端的客户，它的作用是用于检查Web浏览器，对抗Web抗击。BeEF用GitHub找漏洞，它探索了Web边界和客户端系统之外的缺陷。很重要的是，它是专门针对Web浏览器的，能够查看单个源上下文中的漏洞。

第四个：Acunetix Scanner

它是一款知名的网络漏洞扫描工具，能审计复杂的管理报告和问题，并且通过网络爬虫测试你的网站安全，检测流行安全漏洞，还能包含带外漏洞。它具有很高的检测率，覆盖超过4500个弱点;此外，这个工具包含了AcuSensor技术，手动渗透工具和内置漏洞测试，可快速抓取数千个网页，大大提升工作效率。

第五个：John the Ripper

它是一个简单可快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持大多数的加密算法，如DES、MD4、MD5等。

java web的开发用什么开发工具？

1、JDK （Java Development Kit）Java开发工具集

SUN的Java不仅提了一个丰富的语言和运行环境，而且还提了一个免费的Java开发工具集(JDK)。开发人员和最终用户可以利用这个工具来开发java程序。

JDK简单易学，可以通过任何文本编辑器（如：Windows 记事本、UltrEdit、Editplus、FrontPage以及dreamweaver等）编写Java源文件，然后在DOS状况下利通过javac命令将Java源程序编译成字节码，通过Java命令来执行编译后的Java文件，这能带给DOS时代程序员美好的回忆。Java 初学者一般都采用这种开发工具。

从初学者角度来看，采用JDK开发Java程序能够很快理解程序中各部分代码之间的关系，有利于理解Java面向对象的设计思想。JDK的另一个显著特点是随着Java （J2EE、J2SE以及J2ME）版本的升级而升级。但它的缺点也是非常明显的就是从事大规模企业级Java应用开发非常困难，不能进行复杂的Java软件开发，也不利于团体协同开发。

2、Java Workshop

Sun MicroSystems公司于推出了Java WorkShop 1.0，这是业界出现的第一个供Internet网使用的多平台开发工具，它可以满足各公司开发Internet和Intranet网应用软件的需要。Java WorkShop完全用Java语言编写，是当今市场上销售的第一个完全的Java开发环境，目前Java WorkShop的最性版本是3.0。Java Workshop的特点表现如下：

1）结构易于创建：在创建平台中立的网格结构方面，Java Workshop比其他任何一种Java开发工具都要方便。

2）可视化编程：Java Workshop的可视化编程特性是很基本的。Java Workshop允许程序员重新安排这些操作，甚至可以确定触发操作行为的过滤器。Java Workshop产生的模板带有许多注释，这对程序员是很有帮助的。

此外，Java WorkShop支持JDK以及JavaBeans组件模型，API和语言特征增加了编译Java应用程序的灵活性。 Java WorkShop开发环境由于完全用Java写成，所以可移植性极好,以致于多个平台都能支持,目前Java WorkShop支持Solaris操作环境SPARC及Intel 版）、Windows95、WindowsNT、以及HP/Ux等平台。适合于初学者进行一些简单的Java编程。Java WorkShop的缺点是Java Workshop中的每一个可视化对象都迟早会用到网格布局，这种设计方法是许多人不习惯的；Java Workdshop的调色板是较差的，仅仅能满足绝大部分应用的基本要求。

3、NetBeans 与Sun Java Studio 5

是开放源码的Java集成开发环境(IDE)，适用于各种客户机和Web应用。Sun Java Studio是Sun公司最新发布的商用全功能Java IDE，支持Solaris、Linux和Windows平台，适于创建和部署2层Java Web应用和n层J2EE应用的企业开发人员使用。

NetBeans是业界第一款支持创新型Java开发的开放源码IDE。开发人员可以利用业界强大的开发工具来构建桌面、Web或移动应用。同时，通过NetBeans和开放的API的模块化结构，第三方能够非常轻松地扩展或集成NetBeans平台。

NetBeans主要针对一般Java软件的开发者，而Java One Studio5则主要针对企业做网络服务等应用的开发者。Sun不久还将推出Project Rave，其目标是帮助企业的开发者进行软件开发。

NetBeans

etBeans 版本与其他开发工具相比，最大区别在于不仅能够开发各种台式机上的应用，而且可以用来开发网络服务方面的应用，可以开发基于J2ME的移动设备上的应用等。在NetBeans 3.5.1基础上，Sun开发出了Java One Studio5，为用户提供了一个更加先进的企业编程环境。在新的Java One Studio5里有一个应用框架，开发者可以利用这些模块快速开发自己在网络服务方面的各种应用程序。

4、Borland 的JBuilder

Jbuilder进入了Java集成开发环境的王国，它满足很多方面的应用，尤其是对于服务器方以及EJB开发者们来说。下面简单介绍一下Jbuilder的特点:

1）Jbuilder支持最新的Java技术，包括Applets、JSP/Servlets、JavaBean以及EJB(Enterprise JavaBeans)的应用。

2）用户可以自动地生成基于后端数据库表的EJB Java类，Jbuilder同时还简化了EJB的自动部署功能.此外它还支持CORBA，相应的向导程序有助于用户全面地管理IDL(分布应用程序所必需的接口定义语言Interface Definition Language)和控制远程对象。

3）Jbuilder支持各种应用服务器。Jbuilder与Inprise Application Server紧密集成，同时支持WebLogic Server，支持EJB 1.1和EJB 2.0，可以快速开发J2EE的电子商务应用。

4）Jbuilder能用Servlet和JSP开发和调试动态Web 应用。

5）利用Jbuilder可创建(没有专有代码和标记)纯Java2应用。由于Jbuilder是用纯Java语言编写的，其代码不含任何专属代码和标记，它支持最新的Java标准。

6）Jbuilder拥有专业化的图形调试介面，支持远程调试和多线程调试，调试器支持各种JDK版本,包括J2ME/J2SE/J2EE。

JBuilder环境开发程序方便，它是纯的Java 开发环境，适合企业的J2EE开发；缺点是往往一开始人们难于把握整个程序各部分之间的关系，对机器的硬件要求较高，比较吃内存，这时运行速度显得较慢。

5、Oracle 的JDeveloper

Oracle9i JDeveloper（定为9.0版，最新为10g）为构建具有J2EE功能，XML和Web services的复杂的，多层的Java应用程序提供了一个完全集成的开发环境。它为运用Oracle9i数据库和应用服务器的开发人员提供特殊的功能和增强性能，除此以外，它也有资格成为用于多种用途Java开发的一个强大的工具。

Oracle9i JDeveloper的主要特点如下：

① 具有UML（Unified Modeling Language，一体化建模语言）建模功能。可以将业务对象及e-business应用模型化。

② 配备有高速Java调试器（Debuger）、内置Profiling工具、提高代码质量的工具“CodeCoach”等。

③ 支持SOAP（Simple Object Access Protocol）“简单对象访问协议”、UDDI（Universal Description, Discovery and Integration）“统一描述、发现和集成协议”、WSDL（Web Services Description Language）“WEB服务描述语言”等Web服务标准。

JDeveloper 不仅仅是很好的 Java 编程工具，而且是 Oracle Web 服务的延伸，支持 Apache SOAP，以及 9iAS ，可扩充的环境和 XML 和 WSDL 语言紧密相关。Oracle9i Jdeveloper完全利用Java编写，能够与以前的Oracle服务器软件以及其他厂商支持J2EE的应用服务器产品相兼容，而且在设计时着重针对Oracle9i，能够无缝化跨平台之间的应用开发，提供了业界第一个完整的、集成了J2EE和XML的开发环境，允许开发者快速开发可以通过Web、无线设备及语音界面访问的Web服务和交易应用，以往只能通过将传统Java编程技巧与最新模块化方式结合到一个单一集成的开发环境中之后才能完成J2EE应用开发生命周期管理的事实，从根本上得到改变。缺点就是对于初学者来说，较复杂，也比较难。

6、IBM的Visual Age for Java

Visual Age for Java是一个非常成熟的开发工具，它的特性以于IT开发者和业余的Java编程人员来说都是非常用有用的。它提供对可视化编程的广泛支持，支持利用CICS连接遗传大型机应用，支持EJB的开发应用，支持与Websphere的集成开发，方便的bean创建和良好的快速应用开发(RAD)支持和无文件式的文件处理。

IBM为建设Web站点所推出的WebSphere Studio Advanced Edition及其包含的VisualAge for Java Professional Edition软件已全面转向以Java为中心，这样，Java开发人员对WebSphere全套工具的感觉或许会好了许多。Studio所提供的工具有：Web站点管理、快速开发 JDBC页向导程序、HTML编辑器和HTML语法检查等。这确实是个不错的HTML站点页面编辑环境。Studio和VisualAge集成度很高，菜单中提供了在两种软件包之间快速移动代码的选项。这就让使用Studio的Web页面设计人员和使用VisualAge的Java程序员可以相互交换文件、协同工作。

Visual Age for Java支持团队开发，内置的代码库可以自动地根据用户做出改动而修改程序代码，这样就可以很方便地将目前代码和早期版本做出比较。与Visual Age紧密结合的Websphere Studio本身并不提供源代码和版本管理的支持，它只是包含了一个内置文件锁定系统,当编辑项目的时候可以防止其他人对这些文件的错误修改，软件还支持诸如Microsoft Visual SourceSafe这样的第三方源代码控制系统。Visual Age for Java完全面向对象的程序设计思想使得开发程序非常快速、高效。你可以不编写任何代码就可以设计出一个典型的应用程序框架。Visual Age for Java作为IBM电子商务解决方案其中产品之一，可以无缝地与其他IBM产品，如WebSphere、DB2融合, 迅速完成从设计、开发到部署应用的整个过程。

Visual Age for Java独特的管理文件方式使其集成外部工具非常困难,你无法让Visual Age for Java与其他工具一起联合开发应用。

7、BEA 的 WebLogic Workshop

BEA WebLogic Workshop是一个统一、简化、可扩展的开发环境，使所有的开发人员都能在 BEA WebLogic Enterprise Platform之上构建基于标准的企业级应用，从而提高了开发部门的生产力水平，加快了价值的实现。

WebLogic Workshop除了提供便捷的Web服务之外，它能够用于创建更多种类的应用。作为整个BEA WebLogic Platform的开发环境。不管是创建门户应用、编写工作流、还是创建Web应用，Workshop 8.1都可以帮助开发人员更快更好地完成。