Инструмент тестирования уязвимостей для веб-приложений .NET?

Я планирую проверить свой сайт на все распространенные уязвимости безопасности, такие как межсайтовый скриптинг, SQL-инъекция и т.д. Может кто-нибудь сказать мне, есть ли какой-либо автоматизированный инструмент, который я могу запустить для своего веб-приложения .net и найти все недостатки безопасности. Я пробовал CAt.net, но он не может поддерживать большие приложения. я видел abt owsap, но снова он также не автоматизирован. Я ищу что-то, что может указать мне имя файла и имя метода и т.д.

Ответы

Ответ 1

Существует несколько бесплатных инструментов для автоматического обнаружения уязвимости.

Skipfish - автоматический сканер веб-приложений с открытым исходным кодом http://code.google.com/p/skipfish/ Активно разработан и поддерживается

GrendelScan - автоматический сканер веб-приложений с открытым исходным кодом http://grendel-scan.com/

Netsparker Community Edition http://www.mavitunasecurity.com/communityedition/ Бесплатная ограниченная версия Netsparker

RatProxy Неперехватывающий прокси-сервер, который выполняет открытое открытие http://code.google.com/p/ratproxy/

Вот несколько, чтобы вы начали.

Лучший подход - провести ручное тестирование и использовать автоматическое тестирование для покрытия сценариев с низким уровнем висячих фруктов.

Ответ 2

Дайте Skipfish. Требуется немного больше усилий, чтобы установить его на окна (вы должны использовать Cygwin), но это довольно прочный инструмент.

Ответ 3

CAT.NET полезен, но только при запуске в качестве командной строки для больших приложений. Используя плагин visual studio, я не могу заставить его работать для дерьма на больших проектах.