9
我使用NMock单元测试参与了基于测试的ASP.NET MVC和ASP.NET WebAPI开发,然而我写的大部分单元测试都围绕着测试功能。ASP.NET MVC中的漏洞测试
从视图单元测试的点:
是否有任何框架上测试控制器 接入点操作(或任何其它部件)的脆弱性
从视图的自动点/手动QA测试
是否有任何(更喜欢开源)工具测试建立在ASP.NE上的网站的漏洞T MVC,手动还是自动,可用于质量保证?
A
回答
3
我会以与测试任何其他平台上构建的其他Web应用程序相同的方式来测试您的ASP.NET MVC应用程序。
本质上,您的攻击媒介是托管应用程序的网页和服务器。从攻击者的角度思考它。他们无法看到控制器和模型中的代码,但他们可以执行以下操作。
- 扫描您的操作系统版本,Web服务器版本,DB版可能包含漏洞的服务器(S)。
- 扫描您的网页为弱势JavaScript中,输入表单,查询字符串参数等
- 尝试通过任何发现的漏洞利用Web应用程序
您可以使用任意数量的应用程序来测试你的网站XSS,CSRF,SQL注入等。良好的开端是OWASP https://www.owasp.org/index.php/Main_Page 熟悉前10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
还检查了该SO张贴关于开源Web vulnerab ilities扫描仪 https://stackoverflow.com/questions/2995143/open-source-web-site-vulnerability-scanners
请记住,两个主要的攻击媒介将是用户输入和服务器配置。
我也建议看看NMap和MetaSploit。 Nmap可以用于查找服务器上的开放端口,MetaSploit是一个利用漏洞的框架。
+0
经过多一点搜索后,我发现Gendarme可能会帮助您手动测试http://www.mono-project.com/Gendarme – user2353007 2013-05-19 00:36:34
1
那么你应该看的最大的领域是ModelBinding,因为这通常会产生大量的漏洞。
例如看看这个问题,看看你是否能发现的漏洞:
相关问题
- 1. 测试空字节漏洞
- 2. asp.net mvc文件上传安全漏洞
- 3. 简单的PHP漏洞测试
- 4. Wordpress漏洞测试扫描器
- 5. 如何避免ASP.Net(MVC)中的XSS漏洞?
- 6. asp.net散列表漏洞
- 7. RedirectMode在ASP.NET中的安全漏洞
- 8. 创建测试用例对HTML安全漏洞
- 9. 在ASP.NET MVC中测试HtmlHelpers
- 10. glibc fnmatch漏洞:如何揭露漏洞?
- 11. 简单的MVC ASP.Net测试
- 12. .NET Web应用程序的安全漏洞测试工具?
- 13. 工具来测试网站的XSS,SQL inyection和其他漏洞
- 14. 测试Web应用程序的安全漏洞
- 15. 测试网站上的目录扫描/阅读漏洞
- 16. SQL注入漏洞
- 17. Grails web应用免费测试工具来测试SQL注入和XSS漏洞
- 18. XSS中的常见漏洞?
- 19. 。magento中的.swf漏洞
- 20. ASP.NET 4.0会话修复漏洞利用
- 21. 如何编写单元测试以测试ASP.NET Web窗体应用程序是否存在CSRF漏洞?
- 22. 样的Web应用漏洞
- 23. PHP MySQL的漏洞
- 24. XSS漏洞
- 25. XSS漏洞
- 26. nHibernate漏洞
- 27. DotNetNuke漏洞
- 28. 脚本HTTPS调用漏洞测试验证
- 29. URl包含隐藏字段时测试XSS漏洞
- 30. C#winform应用程序安全性漏洞测试工具
这是一个很大的问题,但我怀疑没有任何。常见网站漏洞取决于很多因素。例如,跨站脚本编写的漏洞取决于未编码的可编辑值的数量。没有工具可以追踪变量的来源(特别是不在模拟的环境中)。另一个变量是多少页面将在安全套接字层上运行。这些页面都没有关于伪造攻击的担忧... – 2013-05-13 00:59:34
谢谢。我也有兴趣从QA测试的角度了解是否有任何开源测试工具。 – frictionlesspulley 2013-05-13 01:55:49
我也很想知道。怀疑是不同于不感兴趣;) – 2013-05-13 01:59:09