我计划检查我的网站是否存在所有常见的安全漏洞,例如跨站脚本,sql注入等。有人可以告诉我,我可以为我的.net网络应用程序运行任何自动化工具,并发现存在所有安全漏洞。我试过CAt.net,但它无法支持大型应用程序。我看到了abt owsap但是它也不是自动化的。我正在寻找可以告诉我文件名和方法名等的东西。
答案 0 :(得分:10)
有一些用于自动漏洞发现的免费工具。
Skipfish - 开源自动化Web应用程序扫描程序 http://code.google.com/p/skipfish/ 积极开发和维护
GrendelScan - 开源自动化Web应用程序扫描程序 http://grendel-scan.com/
Netsparker社区版 http://www.mavitunasecurity.com/communityedition/ 免费,限量版Netsparker
RatProxy 执行漏洞发现的非拦截代理 http://code.google.com/p/ratproxy/
以下是一些可以帮助您入门的内容。
最好的方法是进行手动测试并使用自动化测试来涵盖“低悬的果实”场景。
答案 1 :(得分:2)
答案 2 :(得分:1)
CAT.NET很有帮助,但仅在作为大型应用程序的命令行运行时才有用。使用visual studio插件,我无法让它在大型项目上运行垃圾。