扫描网站漏洞的工具

Question

我见过关于这个的几个问题，但没有一个相当符合我在找什么。我最近完成了我的机器上的ASP.NET网站，但我对安全性有点担心。我很确定我已经管理得很好，但总是有一些我错过了一些东西。

所以，我正在寻找符合下列请求数

1. 工具扫描本地托管的（如，在同一台机器上的工具）网站漏洞
2. 可以安装（即没有基于网络的东西）
3. （阐述＃1）...测试ASP.NET（Web窗体，但MVC也不错），用于SQL或XSS问题。 （我认为XSS很难测试，但SQL注入应该更容易找到）

谢谢！让我知道我是否不够具体或者如果这更适合网站管理员SE。

Answer 1

周围有几个扫描工具，其中一些是开源的，这很好。您所谈论的漏洞利用技术是不可知的 - 任何应用程序都会受到它们的困扰，无论它是.net，java，ruby等等。这使得对它们的测试稍微容易一些。另外，SQL注入和XSS错误通常是特定于应用程序的，这使得自动测试更难。

您可以做的最好的事情不是担心安全问题，而是采取特定的步骤解决问题。应始终将安全性设计到您的应用程序中。因此，对您的应用进行代码审查。寻找具体的事情。

• 你有任何内嵌的SQL吗？你有任何修改吗？你在使用参数吗？
• 在使用之前，您是否会转义任何用户输入？

上述2个步骤将消除大多数SQL注入/ XSS错误。您的服务器设置还有其他问题需要解决。漏洞扫描工具通常可以了解其中大部分内容，并可以对其进行测试。