可能重复:准备ASP.Net网站进行渗透测试
如何跨用户攻击测试已内置的网站?我有一个用.NET开发的流程管理系统,现在在将它投入 生产环境 环境之前,我想通过一系列的攻击来测试它 .
我很欣赏,如果有人可以分享一些常见的攻击,这些攻击通常应用于Web应用程序我知道一些如未经授权的访问,URL嵌入式攻击,SQL注入等等 .
请分享您的经验和建议,谢谢 .
清单:
Web Application Security Guide/Checklist
有许多免费工具可供选择,您可以尝试以下方法:
Netsparker:Netsparker Community Edition是一个SQL注入扫描程序 .
Websecurify
Watcher:Watcher是一个Fiddler插件,旨在帮助渗透测试人员被动地发现Web应用程序漏洞 .
Wapiti:Web应用程序漏洞扫描程序/安全审核员
N-Stalker
skipfish:Skipfish是一种活跃的Web应用程序安全侦察工具 . 它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点 Map . 然后使用来自许多活动(但希望无中断)安全检查的输出来注释生成的映射 . 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础 .
Scrawlr
x5s:x5s是一个Fiddler插件,旨在帮助渗透测试人员找到跨站点脚本漏洞 . 它的主要目标是通过以下方式帮助您识别可能发生XSS的热点:1 . 检测安全编码未应用于发出的用户输入的位置 . 2.检测Unicode字符转换可能绕过安全筛选器的位置 . 3.检测非最短UTF-8编码可能绕过安全过滤器的位置
Exploit-Me:Exploit-Me是一套Firefox Web应用程序安全测试工具,旨在实现轻量级且易于使用 .
Free Web Application Security Testing Tools
1 回答
清单:
Web Application Security Guide/Checklist
有许多免费工具可供选择,您可以尝试以下方法:
Netsparker:Netsparker Community Edition是一个SQL注入扫描程序 .
Websecurify
Watcher:Watcher是一个Fiddler插件,旨在帮助渗透测试人员被动地发现Web应用程序漏洞 .
Wapiti:Web应用程序漏洞扫描程序/安全审核员
N-Stalker
skipfish:Skipfish是一种活跃的Web应用程序安全侦察工具 . 它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点 Map . 然后使用来自许多活动(但希望无中断)安全检查的输出来注释生成的映射 . 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础 .
Scrawlr
x5s:x5s是一个Fiddler插件,旨在帮助渗透测试人员找到跨站点脚本漏洞 . 它的主要目标是通过以下方式帮助您识别可能发生XSS的热点:1 . 检测安全编码未应用于发出的用户输入的位置 . 2.检测Unicode字符转换可能绕过安全筛选器的位置 . 3.检测非最短UTF-8编码可能绕过安全过滤器的位置
Exploit-Me:Exploit-Me是一套Firefox Web应用程序安全测试工具,旨在实现轻量级且易于使用 .
Free Web Application Security Testing Tools