在 ASP.NET MVC 以及测试用例项目中,
有人如何创建测试用例来测试控制器方法上的现有安全漏洞?
例如,如何为需要防伪令牌的调用创建测试用例?还是 XSS?
问问题
539 次
1 回答
1
测试 XSS 的最佳方法是使用专门的工具来测试这些类型的漏洞。Wapiti 和 w3af 都是很好的开源工具,可以测试 XSS、SQL 注入和更严重的漏洞。Acunetix 易于使用但价格昂贵,但免费版仅测试您需要的 XSS: http ://www.acunetix.com/cross-site-scripting/scanner.htm
我相信您所说的“anti-forgery tolken”指的是 XSRF 保护系统。我不相信可以针对 XSRF 创建自动化测试。XSRF 与请求中发送的数据类型完全无关,而是与数据的来源有关。已经编写了用于测试 XSRF 的工具,w3af 具有这些测试之一。然而,我见过的每一个自动化 XSRF 测试都是完全没有价值的。如果你想正确完成 XSRF 测试,你必须自己做: http ://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29
于 2010-01-15T22:36:40.930 回答