扫描仪/工具，用于生成包含网站所有表单和输入字段的列表

Question

我在信息安全方面不是很有经验，但我知道一些关于注入攻击和其他基于web的攻击的基本知识。是否有一个工具/爬虫来查找整个网站的所有表单和输入字段？

我知道firefox和chrome的加载项，显示当前浏览网站的表单细节。我需要的是一个工具，像一个安全扫描器/网站爬虫，自动扫描整个网站的表单，并生成一个有用的文件或显示概述与表单和他们的输入字段。我使用linux，并希望检查一个本地开发的网站的表单和输入字段。

编辑:我以前没有使用任何安全工具，只是从网上的书籍和文章中了解了一些基本知识。

Answer 1

如果您试图对所有可能的攻击输入进行分类，则创建所有表单输入字段的列表将是不完整的，并可能导致您产生错误的安全感。还有许多其他潜在的攻击来源( URL中的参数是非常常见的)。

当我开始研究网站安全性时，有一件事对我有帮助，那就是开始从HTTP请求级别而不是HTML级别来查看它。如果有人攻击您的站点，他们很可能也会攻击您的HTTP请求级别。

我个人使用打嗝套房进行安全测试。它们有一个免费版本，并为您提供了收集所有可能的HTTP请求列表所需的工具。

此外，我发现网络应用黑客手册是理解安全漏洞的一个非常有用的工具。具体地看一看Web Application Hacker’s Methodology章节