13

我计划检查我的网站是否存在所有常见的安全漏洞,如跨站点脚本、sql 注入等。有人可以告诉我是否有任何自动化工具可以为我的 .net Web 应用程序运行并发现所有安全漏洞都存在。我试过 CAt.net 但它不支持大型应用程序。我看到了 abt owsap,但它也不是自动化的。我正在寻找可以告诉我文件名和方法名等的东西。

4

3 回答 3

10

有一些免费工具可用于自动发现漏洞。

Skipfish - 开源自动化 Web 应用程序扫描器 http://code.google.com/p/skipfish/ 积极开发和维护

GrendelScan - 开源自动化 Web 应用程序扫描器 http://grendel-scan.com/

Netsparker 社区版 http://www.mavitunasecurity.com/communityedition/ 免费、有限版 Netsparker

RatProxy 执行漏洞发现的非拦截代理 http://code.google.com/p/ratproxy/

这里有一些可以帮助您入门。

最好的方法是执行手动测试并使用自动化测试来覆盖“唾手可得”的场景。

于 2010-08-12T20:40:19.447 回答
2

试试鲣鱼。在 Windows 上安装它需要一点额外的努力(你必须使用Cygwin),但它是一个非常可靠的工具。

于 2010-08-12T17:40:04.810 回答
1

CAT.NET很有帮助,但仅当作为大型应用程序的命令行运行时。使用 Visual Studio 插件,我也无法让它在大型项目上运行。

于 2010-08-12T20:42:43.967 回答