.NET web应用程序的安全漏洞测试工具？

Question

我计划检查我的网站所有常见的安全漏洞，如跨站点脚本，sql注入等。谁能告诉我有什么自动化的工具，我可以运行我的.net网络应用程序，并发现所有的安全漏洞存在。我试过CAt.net，但它不能支持大型应用程序。我看到了大约owsap，但反对它也不是自动的。我正在找一些东西，可以告诉我文件名和方法名等。

Answer 1

有一些用于自动漏洞发现的免费工具。

Skipfish -开源的自动化web应用程序扫描器http://code.google.com/p/skipfish/正在积极开发和维护

GrendelScan -开源自动化web应用程序扫描程序http://grendel-scan.com/

Netsparker社区版http://www.mavitunasecurity.com/communityedition/免费，Netsparker的有限版本

执行漏洞发现http://code.google.com/p/ratproxy/的RatProxy非截获代理

这里有一些可以让你入门的东西。

最好的方法是执行手动测试，并使用自动化测试来覆盖“低挂果”的场景。

Answer 2

试一试Skipfish。在windows上安装它需要一些额外的努力(你必须使用Cygwin)，但它是一个非常可靠的工具。

Answer 3

CAT.NET很有用，但只有在作为大型应用程序的命令行运行时才有用。使用visual studio插件，我也不能让它在更大的项目上运行。