我打算检查我的网站是否存在常见的安全漏洞,如跨站脚本、SQL注入等。有人可以告诉我是否有自动化工具可以运行于我的.Net Web应用程序中,并找出所有存在的安全漏洞吗?我尝试了CAt.net,但它无法支持大型应用程序。我看到OWASP,但它也不是自动化的。我正在寻找能够告诉我文件名和方法名等信息的工具。
我打算检查我的网站是否存在常见的安全漏洞,如跨站脚本、SQL注入等。有人可以告诉我是否有自动化工具可以运行于我的.Net Web应用程序中,并找出所有存在的安全漏洞吗?我尝试了CAt.net,但它无法支持大型应用程序。我看到OWASP,但它也不是自动化的。我正在寻找能够告诉我文件名和方法名等信息的工具。
有一些自动化漏洞发现的免费工具。
Skipfish - 开源自动化Web应用程序扫描器 http://code.google.com/p/skipfish/ 积极开发和维护。
GrendelScan - 开源自动化Web应用程序扫描器 http://grendel-scan.com/
Netsparker社区版 http://www.mavitunasecurity.com/communityedition/ Netsparker的免费版本,但功能有限。
RatProxy 非截获代理,可执行漏洞发现 http://code.google.com/p/ratproxy/
这仅是初步了解的几种工具。
最佳方法是进行手动测试,并使用自动化测试来覆盖“低挂果”的场景。
CAT.NET很有帮助,但只适用于大型应用程序的命令行运行。使用Visual Studio插件时,我也无法在较大的项目上运行它。