logo标签列表

扫描网站漏洞的工具

asp.netsecuritytesting
3
我看到了一些关于这个问题的SO问答,但没有一个完全符合我的要求。我在我的机器上有一个ASP.NET站点,最近刚刚完成,但我有点担心安全性。我相信我已经处理得很好了,但总有可能会漏掉什么。
因此,我正在寻找一个工具,满足以下要求:
  1. 扫描本地托管的网站(即与该工具在同一台机器上)以查找漏洞
  2. 可以安装(即没有基于Web的内容)
  3. (详细说明#1)...测试ASP.NET(Web Forms,但MVC也很好)是否存在SQL或XSS问题。(我认为XSS很难测试,但SQL注入应该更容易发现)
谢谢!如果我没有说得够明确,或者这更适合Webmasters SE,请告诉我。
为什么有人会把这标记为在服务器故障上的问题? - Thomas Shields
1个回答
2
有一些扫描工具可以使用,其中一些是开源的,这很好。你所谈论的漏洞是技术不可知的 - 任何应用程序都可能受到它们的影响,无论是 .net、java、ruby 等等。这使得对它们进行测试稍微容易一些。此外,SQL 注入和 XSS 漏洞通常是特定于应用程序的,这使得自动测试变得更加困难。
你能做的最好的事情就是不要担心安全,而是采取具体步骤来解决问题。安全应始终设计成应用程序的一部分。因此,在你的应用程序上进行代码审查。寻找具体的事情。
  • 你是否有任何内联 SQL?你是否以任何方式修改它?你是否使用参数?
  • 在使用用户输入之前,你是否转义了它?
上述两个步骤将消除大多数 SQL 注入 / XSS 漏洞。还有其他与您的服务器设置有关的问题。漏洞扫描工具通常会了解这些问题并进行测试。
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接