我打算检查我的网站是否存在常见的安全漏洞,如跨站脚本、SQL注入等。有人可以告诉我是否有自动化工具可以运行于我的.Net Web应用程序中,并找出所有存在的安全漏洞吗?我尝试了CAt.net,但它无法支持大型应用程序。我看到OWASP,但它也不是自动化的。我正在寻找能够告诉我文件名和方法名等信息的工具。
3个回答
10
有一些自动化漏洞发现的免费工具。
Skipfish - 开源自动化Web应用程序扫描器 http://code.google.com/p/skipfish/ 积极开发和维护。
GrendelScan - 开源自动化Web应用程序扫描器 http://grendel-scan.com/
Netsparker社区版 http://www.mavitunasecurity.com/communityedition/ Netsparker的免费版本,但功能有限。
RatProxy 非截获代理,可执行漏洞发现 http://code.google.com/p/ratproxy/
这仅是初步了解的几种工具。
最佳方法是进行手动测试,并使用自动化测试来覆盖“低挂果”的场景。
- ygjb
1
谢谢,你有关于Qualys的想法吗?我听说他们在这个领域非常出色。 - Punit
1
CAT.NET很有帮助,但只适用于大型应用程序的命令行运行。使用Visual Studio插件时,我也无法在较大的项目上运行它。
- StingyJack
1
是的,这就是CAT.NET的问题,它无法超过1200 MB。但有时即使对于较小的项目,特别是网站项目,它也会失败。我的网站也遇到了这个问题,为了克服这个问题,我安装了微软提供的Web部署项目,并为我的网站创建了一个单独的DLL(通常网站会创建动态DLL),然后我运行了这个工具来处理这个DLL,并获得了成功。在运行此工具时,请确保关闭其他已打开的IDE。 - Punit
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接