Короче говоря, я ищу инструмент для автоматизированного полнофронтального нападения с нулевой конфигурацией на веб-приложение.
Я думаю, что логически это будет расширение для браузера, которое будет одновременно сканировать ссылки в заданном домене / пути и случайным образом вводить данные в формы и отправлять их. В частности, ввод формы будет случайным образом включать различные типы данных, специальные символы, избыточные данные, различные кодировки символов и нулевые значения. Многопоточность является необходимостью (возможно, один плагин просто использует несколько вкладок Firefox).
Инструменту НЕ нужно (и не следует) делать какие-либо утверждения о результатах или проверять поведение приложения. Вместо этого для оценки результатов этого «тестирования» будут использоваться постоянный уровень (записи БД и т. Д.) И журналы приложений.
Это будет инструмент, дополняющий существующие инструменты тестирования (Selenium, QuickTestPro) и методологии, которые могут не охватывать 100%.
Есть предложения по существующим или находящимся в разработке инструментам? Если нет, то я готов начать проект с открытым исходным кодом.
РАЗЪЯСНЕНИЕ : Я специально не ищу инструмент для тестирования на проникновение.
ОБНОВЛЕНИЕ : Я создал проект с открытым исходным кодом для решения этого вопроса. Смотрите комментарии ниже.