我使用NMock單元測試參與了基於測試的ASP.NET MVC和ASP.NET WebAPI開發,然而我寫的大部分單元測試都圍繞着測試功能。ASP.NET MVC中的漏洞測試
從視圖單元測試的點:
是否有任何框架上測試控制器 接入點操作(或任何其它部件)的脆弱性
從視圖的自動點/手動QA測試
是否有任何(更喜歡開源)工具測試建立在ASP.NE上的網站的漏洞T MVC,手動還是自動,可用於質量保證?
我使用NMock單元測試參與了基於測試的ASP.NET MVC和ASP.NET WebAPI開發,然而我寫的大部分單元測試都圍繞着測試功能。ASP.NET MVC中的漏洞測試
從視圖單元測試的點:
是否有任何框架上測試控制器 接入點操作(或任何其它部件)的脆弱性
從視圖的自動點/手動QA測試
是否有任何(更喜歡開源)工具測試建立在ASP.NE上的網站的漏洞T MVC,手動還是自動,可用於質量保證?
我會以與測試任何其他平臺上構建的其他Web應用程序相同的方式來測試您的ASP.NET MVC應用程序。
本質上,您的攻擊媒介是託管應用程序的網頁和服務器。從攻擊者的角度思考它。他們無法看到控制器和模型中的代碼,但他們可以執行以下操作。
您可以使用任意數量的應用程序來測試你的網站XSS,CSRF,SQL注入等。良好的開端是OWASP https://www.owasp.org/index.php/Main_Page 熟悉前10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
還檢查了該SO張貼關於開源Web vulnerab ilities掃描儀 https://stackoverflow.com/questions/2995143/open-source-web-site-vulnerability-scanners
請記住,兩個主要的攻擊媒介將是用戶輸入和服務器配置。
我也建議看看NMap和MetaSploit。 Nmap可以用於查找服務器上的開放端口,MetaSploit是一個利用漏洞的框架。
經過多一點搜索後,我發現Gendarme可能會幫助您手動測試http://www.mono-project.com/Gendarme – user2353007 2013-05-19 00:36:34
那麼你應該看的最大的領域是ModelBinding,因爲這通常會產生大量的漏洞。
例如看看這個問題,看看你是否能發現的漏洞:
這是一個很大的問題,但我懷疑沒有任何。常見網站漏洞取決於很多因素。例如,跨站腳本編寫的漏洞取決於未編碼的可編輯值的數量。沒有工具可以追蹤變量的來源(特別是不在模擬的環境中)。另一個變量是多少頁面將在安全套接字層上運行。這些頁面都沒有關於僞造攻擊的擔憂... – 2013-05-13 00:59:34
謝謝。我也有興趣從QA測試的角度瞭解是否有任何開源測試工具。 – frictionlesspulley 2013-05-13 01:55:49
我也很想知道。懷疑是不同於不感興趣;) – 2013-05-13 01:59:09