如何揭露我网站的保安漏洞

Question

是否有任何服务，或测试套件或其他东西，我可以运行我的网站，并暴露任何主要的安全缺陷。我不希望我需要担心黑客，但我想消除容易被利用的安全风险。例如SQL注入、跨站脚本等。

Answer 1

您可以使用skipfish来检测XSS/SQLi漏洞。这在服务器上可能相当困难(暴力破解，生成大量请求)，所以你可能想要阅读它的选项/标志。

对于SQL注入，sqlmap在查找和利用SQL注入方面相当出色。绝对值得一试。

我经常使用这两个工具进行渗透测试，它们非常善于发现有意义的东西。

Answer 2

在sql注入测试中试试这个，这是我喜欢的

Havij v1.15高级SQL注入

http://www.itsecteam.com/en/projects/project1.htm

Answer 3

看一看ASafaWeb analyzer for ASP.NET web sites。(如果ASP.NET适用于您...)

它不会进行SQL注入攻击，但仍然很有用。

这是特洛伊·亨特写的，一定要收听他接受采访的Dotnetrocks.com episode 735。