3.2 DirBuster
DirBuster是OWASP(开放WEB软体安全项目- OpenWeb Application Security Project)开发的一款专门用于探测WEB服务器的目录和隐藏文件。由于使用JAVA编写,电脑中要装有JDK才能运行。本书介绍的DirBuster版本为V0.12。
打开DirBuster,如43所示。
43 DirBuster
- TargetURL:目标URL地址,记住前面一定要有http或https。
- WorkMet…:工作方式,包括“仅使用GET请求”和“在HEAD和GET之间自动选择”两种方式,建议使用“在HEAD和GET之间自动选择”。
- 线程数:建议选择30。
- 选择扫描类型:一般选择“List based foreced”;如果使用个人字典,请选择“Pure Brute Force”。
- FileWith list of dir/files:选择字典文件,高级用户可以自己书写字典文件
- SelectStarting Option:选择开始选项,包括“标准开始点”和“URL模糊测试”两种方式。建议选择“URL模糊测试”。
- URLto Fuzz—/test.html?url={dir}.asp:如果选择了“URL模糊测试”, 这里输入/{dir}, 运行时被字典变量替换。
扫描完毕即可显示扫描结果,如44所示。
44 DirBuster扫描结果
星云测试
奇林软件
联合通测
顾翔凡言:
图是软件项目三角形。
图 软件项目三角形
下面做如下假设。
l 假设质量(Q)与范围(S)不变,时间(T)减少的情形下,必须雇佣高水平的人员或者先进的技术,即增大产品的成本(C)。同理,质量(Q)与范围不变,时间(T)增加的情形下,可以减少成本(C)。
l 假设质量(Q)与时间(T)不变,范围(S)增加的情形下,也必须增大成本(C)。同理,质量(Q)与时间(T)不变,范围(S)减少的情形下,可以减少成本(C)。
l 假设质量(Q)与成本(C)不变,时间(T)减少的情形下,范围(S)必须减少。同理,质量(Q)与成本(C)不变,时间(T)增加的情形下,可以加大范围(S)。
于是可以得到如下公式:
Q = TC/S
- 也就是说质量消耗单位模块的时间和金钱的乘积。从这里可以看出,完成一个功能,需要达到一定的质量,必须消耗有效的时间或者增加产品的成本投入,由此可以看出为了赶进度,盲目加班赶工是不可取的。
