该章作为CTF新手入门使用，主要罗列了Web攻防阶段使用到的相关软件（软件可能不一，功能一致，不必纠结）

1、sqlmap（sqlmap）

sqlmap是一个开源的渗透测试工具，可以用来进行自动化检测，利用SQL注入漏洞获取数据库服务器的权限。

Ps：下载后的源代码解压到本地即可使用。使用Python运行 sqlmap.py 脚本，后跟需要注入的链接。可使用-h查看相关参数信息。

2、Burp Suite（Burp Suite）

Burp Suite是用于攻击Web应用程序的集成平台，包含很多工具。所有工具共享通一个请求接口处理对应的HTTP消息、持久性、认证、代理、改包、日志和警报。

3、Firefox（Firefox）

Firefox是一个自由及开放的网页浏览器提供很多Web安全测试与实验相关的插件，简单介绍几个插件：

HackBar：提供SQL注入和XSS攻击，能够快速对字符串进行各种编码。
FireBug：一个开源的Web开发工具
HttpFox：检测和分析浏览器与Web服务器之间的HTTP流量。
XSS Me：XSS测试拓展
Poster：发送Web服务器交换的HTTP请求并查看输出结果。
FoxyProxy：代理工具。
SQL Inject Me：SQL注入测试拓展。
Tamper Data：查看和修改HTTP/HTTPS头和POST参数。
Cookie Watcher：在状态栏显示Cookie。
User Agent Switcher：改变客户端的User Agent的一款插件。
Offsec Exploit-db Search：搜索Exploit-db信息。
这是我经常用到的一些插件，还有很多功能强大的插件，可以自行在Firefox设置拓展插件网站查看。

4、扫描工具

这类工具有很多，主要包括御剑、AWVS、AppScan、Niketo、D盾等。用法简单。

暂时总结到这，不知道还有什么工具了。Emm。太难了

本文由 LceAn 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。