9
我使用NMock單元測試參與了基於測試的ASP.NET MVC和ASP.NET WebAPI開發,然而我寫的大部分單元測試都圍繞着測試功能。ASP.NET MVC中的漏洞測試
從視圖單元測試的點:
是否有任何框架上測試控制器 接入點操作(或任何其它部件)的脆弱性
從視圖的自動點/手動QA測試
是否有任何(更喜歡開源)工具測試建立在ASP.NE上的網站的漏洞T MVC,手動還是自動,可用於質量保證?
A
回答
3
我會以與測試任何其他平臺上構建的其他Web應用程序相同的方式來測試您的ASP.NET MVC應用程序。
本質上,您的攻擊媒介是託管應用程序的網頁和服務器。從攻擊者的角度思考它。他們無法看到控制器和模型中的代碼,但他們可以執行以下操作。
- 掃描您的操作系統版本,Web服務器版本,DB版可能包含漏洞的服務器(S)。
- 掃描您的網頁爲弱勢JavaScript中,輸入表單,查詢字符串參數等
- 嘗試通過任何發現的漏洞利用Web應用程序
您可以使用任意數量的應用程序來測試你的網站XSS,CSRF,SQL注入等。良好的開端是OWASP https://www.owasp.org/index.php/Main_Page 熟悉前10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
還檢查了該SO張貼關於開源Web vulnerab ilities掃描儀 https://stackoverflow.com/questions/2995143/open-source-web-site-vulnerability-scanners
請記住,兩個主要的攻擊媒介將是用戶輸入和服務器配置。
我也建議看看NMap和MetaSploit。 Nmap可以用於查找服務器上的開放端口,MetaSploit是一個利用漏洞的框架。
+0
經過多一點搜索後,我發現Gendarme可能會幫助您手動測試http://www.mono-project.com/Gendarme – user2353007 2013-05-19 00:36:34
1
那麼你應該看的最大的領域是ModelBinding,因爲這通常會產生大量的漏洞。
例如看看這個問題,看看你是否能發現的漏洞:
相關問題
- 1. Veracode測試,檢測並修復漏洞
- 2. ASP.NET MVC 4和會話安全漏洞
- 3. asp.net mvc文件上傳安全漏洞
- 4. 簡單的PHP漏洞測試
- 5. Wordpress漏洞測試掃描器
- 6. 測試一個軟件漏洞
- 7. ReactJS中的安全漏洞或漏洞?
- 8. 如何避免ASP.Net(MVC)中的XSS漏洞?
- 9. asp.net散列表漏洞
- 10. RedirectMode在ASP.NET中的安全漏洞
- 11. Asp.net MVC測試
- 12. 堆檢測安全漏洞
- 13. 在ASP.NET MVC中測試HtmlHelpers
- 14. 創建測試用例對HTML安全漏洞
- 15. glibc fnmatch漏洞:如何揭露漏洞?
- 16. 簡單的MVC ASP.Net測試
- 17. 工具來測試網站的XSS,SQL inyection和其他漏洞
- 18. 表單漏洞測試的典型文本
- 19. 測試網站上的目錄掃描/閱讀漏洞
- 20. 測試Web應用程序的安全漏洞
- 21. .NET Web應用程序的安全漏洞測試工具?
- 22. SQL注入漏洞
- 23. ASP.NET 4.0會話修復漏洞利用
- 24. ASP.NET窗體身份驗證漏洞
- 25. Grails web應用免費測試工具來測試SQL注入和XSS漏洞
- 26. 防止ckeditor中的漏洞?
- 27. XSS中的常見漏洞?
- 28. PHP post中的漏洞?
- 29. 。magento中的.swf漏洞
- 30. 如何編寫單元測試以測試ASP.NET Web窗體應用程序是否存在CSRF漏洞?
這是一個很大的問題,但我懷疑沒有任何。常見網站漏洞取決於很多因素。例如,跨站腳本編寫的漏洞取決於未編碼的可編輯值的數量。沒有工具可以追蹤變量的來源(特別是不在模擬的環境中)。另一個變量是多少頁面將在安全套接字層上運行。這些頁面都沒有關於僞造攻擊的擔憂... – 2013-05-13 00:59:34
謝謝。我也有興趣從QA測試的角度瞭解是否有任何開源測試工具。 – frictionlesspulley 2013-05-13 01:55:49
我也很想知道。懷疑是不同於不感興趣;) – 2013-05-13 01:59:09