常見的網頁攻擊

Question

可能重複：
Preparing an ASP.Net website for penetration testing

如何測試一個已經內置跨用戶攻擊網站？ 我已經有了一個用.NET開發的流程管理系統，現在我把它放入生產環境之前，我想通過一系列的攻擊來測試它。

我很感激，如果有人可以分享那些在Web應用程序通常應用於我知道有些人，如未經授權，URL嵌入攻擊，SQL注入的等等一些常見的攻擊..

請分享你的經驗和建議， 謝謝。

Answer 1

清單：

Web Application Security Guide/Checklist

許多免費的工具可用，你可以嘗試這些：

• Netsparker：Netsparker社區版是一個SQL注入掃描器。
• Websecurify
• Watcher：Watcher是一個小提琴手插件，旨在幫助滲透測試人員在被動發現的Web應用程序漏洞。
• Wapiti：Web應用程序漏洞掃描/安全審計員
• N-Stalker
• skipfish：Skipfish是一個活躍的Web應用安全偵察工具。它通過執行遞歸爬取和基於字典的探測來爲目標站點準備交互式站點地圖。最終的地圖然後用來自許多活動（但希望是不中斷的）安全檢查的輸出來註釋。該工具生成的最終報告旨在作爲專業Web應用程序安全評估的基礎。
• Scrawlr
• x5s：x5s是一個Fiddler插件，旨在幫助滲透測試人員發現跨站點腳本漏洞。它的主要目標是通過以下方式幫助您確定可能發生XSS的熱點：1.檢測安全編碼未應用於發射用戶輸入的位置。 2.檢測Unicode字符轉換可能繞過安全過濾器的位置。 3.檢測非最短的UTF-8編碼可能繞過安全過濾器的位置
• Exploit-Me：Exploit-Me是一套Firefox Web應用程序安全測試工具，旨在輕量級且易於使用。

Free Web Application Security Testing Tools