渗透测试银光应用

Question

实现Silverlight应用程序的过程是什么？进行手工测试的最佳方法是什么？有什么特别的工具吗？例如，一个具有大量文件上传、用户输入字段和数据库连接(有和没有ORM)的应用程序。

Answer 1

如果您正在检查代码，那么我建议您使用测试(请参阅http://silverlight.codeplex.com/和http://weblogs.asp.net/scottgu/archive/2008/04/02/unit-testing-with-silverlight.aspx)或Nant来测试代码。这将是进行这类测试的最有效的方法。

如果您无法访问源代码，并且需要进行外部/盲测试，那么您应该包括下面的常规web应用程序测试。

覆盖

在Silverlight中，通常需要在正常的web应用程序之外进行测试：

1. 深联
2. 隔离存储
3. 后端服务

深度链接

测试流程中的缺陷，特别是授权和数据输入。

允许直接访问Silverlight中的页面，如果授权检查仅在特定点进行，则可以绕过安全性(例如授权)。

例如:应用程序只在登录屏幕上或之后检查授权，但是应用程序被深度链接以允许直接访问数据读/写。

隔离存储

然而，与任何数据存储测试一样，特别要注意的是，它是客户端存储。

以下问题：

1. 什么可以存储在隔离存储中？
2. 在隔离存储中可以重写什么？例如，应用程序是否存储了可以被用户重写的文件？
3. 这是如何返回给用户的？

后端服务

在web应用程序使用情况下，Silverlight通常形成顶层/前端，后端web服务将负责某种类型的数据处理/存储。

因为Silverlight是一种客户端技术，web服务如果存在，就会向客户机公开，这与通常的服务器端web应用程序不同，后者可能根本不需要公开这些服务。

Web服务应该使用自动化和手动工具进行积极的测试。内容类型、大小约束和性能的正常测试非常重要。此外，一些毛茸茸的也会是好的。这一切都回到了一般的web服务测试中，而不是Silverlight特有的。

Tools

一楼的Silverlight间谍可以帮助调查隔离存储问题：http://firstfloorsoftware.com/silverlightspy/download-silverlight-spy/

使用ILSpy或.Net Reflector：http://wiki.sharpdevelop.net/ILSpy.ashx查看应用程序的xbap代码有时也很有帮助。

为web服务尝试这些：

是否有任何工具用于自动渗透测试Silverlight应用程序？

https://www.owasp.org/index.php/Fuzzing

希望这能有所帮助。