如何对已发布的ASP.NET web应用进行反编译？

Question

为了进行渗透测试，我计划对已发布的ASP.NET web应用程序源代码进行反编译。这必须由QA来完成。但我很难去检查这个。是否有任何工具或技术来执行此操作？

Answer 1

如果您可以访问DLL，则可以使用反射器。除非您在内部访问服务器，否则通常无法访问DLL。

如果您正在进行内部安全审核(访问您的网络的人)，那么他们很可能访问DLL。这可能导致一种情况，即他们可以对代码进行反编译。它将不是完全相同的源代码，但它将非常接近。与源代码相比，我更关心的是他们是否能够访问您的源代码控制、数据库或加密/安全模块。

如果您正在执行外部安全审核(攻击者无法访问内部网络)，则可以尝试破坏网络。最简单的方法是收集有关网络的数据、服务器、数据库、守护进程等的模型/版本，然后与众多的漏洞列表进行比较。卡利 (回溯) Linux提供了一套很好的工具，可以利用已知的任何风险来破坏网络。一旦进入，就可以做几件事来获取和解压缩DLL。