我计划检查我的网站是否存在所有常见的安全漏洞,例如跨站脚本、sql 注入等。有人可以告诉我是否有任何自动化工具可以为我的 .net Web 应用程序运行并发现所有存在的安全缺陷。我尝试过 CAt.net,但它无法支持大型应用程序。我看到了 abt owsap,但它也不是自动化的。我正在寻找可以告诉我文件名和方法名等的东西。
有一些免费工具可用于自动发现漏洞。
Skipfish - 开源自动化 Web 应用程序扫描仪 http://code.google.com/p/skipfish/ 积极开发和维护
GrendelScan - 开源自动化 Web 应用程序扫描仪 http://grendel-scan.com/
Netsparker 社区版 http://www.mavitunasecurity.com/communityedition/ Netsparker 的免费限量版
RatProxy 执行漏洞发现的非拦截代理 http://code.google.com/p/ratproxy/
这里有一些可以帮助您入门。
最好的方法是执行手动测试并使用自动化测试来覆盖“容易实现的目标”场景。
CAT.NET 很有帮助,但仅限于作为大型应用程序的命令行运行时。使用 Visual Studio 插件,我也无法让它在更大的项目上运行。