常见网络攻击

Question

可能重复： 为渗透测试准备一个ASP.Net网站

如何在用户攻击中测试已经内置的网站？我已经在.NET中开发了一个过程管理系统，现在在将它放到生产环境之前，我想通过一系列的攻击来测试它。

如果有人能分享一些常见的在web应用程序上应用的攻击，我很感激。我知道一些常见的攻击，如未经授权的访问、URL嵌入攻击、sql注入等等。

请分享您的经验和建议，谢谢。

Answer 1

核对表：

Web应用程序安全指南/检查列表

有许多免费工具可供使用，您可以尝试以下几种：

• 内斯派克：是一个SQL注入扫描程序。
• Websecurify
• 守望者：Watcher是一个Fiddler插件，旨在帮助渗透测试人员被动地发现网络应用程序漏洞。
• 马鹿：Web应用程序漏洞扫描器/安全审计师
• 斯塔尔克
• 尖吻鱼：Skipfish是一个活跃的web应用程序安全侦察工具。它通过执行递归爬行和基于字典的探测来为目标站点准备交互式站点地图。然后，使用许多活动(但希望是非破坏性的)安全检查的输出对生成的映射进行注释。该工具生成的最后报告将作为专业web应用程序安全评估的基础。
• 斯爬伯
• x5s：x5s是一个Fiddler插件，旨在帮助渗透测试人员查找跨站点脚本漏洞。它的主要目标是帮助您识别XSS可能出现的热点: 1.检测哪些安全编码没有应用于发出的用户输入。2.检测Unicode字符转换可能绕过安全过滤器的位置。3.检测非最短的UTF-8编码可能绕过安全过滤器的位置。
• 剥削-我：开发包-Me是一套Firefox应用程序安全测试工具，设计成轻量级且易于使用。

免费Web应用程序安全测试工具