掃描網站漏洞的工具

Question

我見過關於這個的幾個問題，但沒有一個相當符合我在找什麼。我最近完成了我的機器上的ASP.NET網站，但我對安全性有點擔心。我很確定我已經管理得很好，但總是有一些我錯過了一些東西。

所以，我正在尋找符合下列請求數

1. 工具掃描本地託管的（如，在同一臺機器上的工具）網站漏洞
2. 可以安裝（即沒有基於網絡的東西）
3. （闡述＃1）...測試ASP.NET（Web窗體，但MVC也不錯），用於SQL或XSS問題。 （我認爲XSS很難測試，但SQL注入應該更容易找到）

謝謝！讓我知道我是否不夠具體或者如果這更適合網站管理員SE。

Answer 1

周圍有幾個掃描工具，其中一些是開源的，這很好。您所談論的漏洞利用技術是不可知的 - 任何應用程序都會受到它們的困擾，無論它是.net，java，ruby等等。這使得對它們的測試稍微容易一些。另外，SQL注入和XSS錯誤通常是特定於應用程序的，這使得自動測試更難。

您可以做的最好的事情不是擔心安全問題，而是採取特定的步驟解決問題。應始終將安全性設計到您的應用程序中。因此，對您的應用進行代碼審查。尋找具體的事情。

• 你有任何內嵌的SQL嗎？你有任何修改嗎？你在使用參數嗎？
• 在使用之前，您是否會轉義任何用戶輸入？

上述2個步驟將消除大多數SQL注入/ XSS錯誤。您的服務器設置還有其他問題需要解決。漏洞掃描工具通常可以瞭解其中大部分內容，並可以對其進行測試。