首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >网站安全测试

网站安全测试
EN

Stack Overflow用户
提问于 2011-05-21 14:39:18
回答 3查看 2.6K关注 0票数 5

我目前正在做一个学校作业,要求我们在一个由我们的同龄人创建的网站上进行安全测试。该网站是使用ASP.Net 3.5/4和一个MS数据库创建的。

该网站的主要特点是:

  • 注册和登录使用角色
  • 上载文件
  • 分享上载的文件
  • 在共享文档上留下评论

我已经开始使用以下方法测试该网站:

  • “登记册”、“登录”和“留言”部分中的XSS
  • 寄存器页和登录页中的SQL注入
  • 上传具有不同扩展名的可执行文件(我已将可执行文件更改为.doc,以测试系统是否正在检查文件的扩展名或实际内容)

这些测试是手动进行的,我可以访问源代码!

你能建议我做其他的测试吗?

干杯

EN

回答 3

Stack Overflow用户

回答已采纳

发布于 2011-05-21 15:06:49

一个很好的资源,可以锁定的东西将是OWASP -我链接到他们的“前十”项目,因为我自己跟踪它锁定应用程序,并发现它真的很有用。

钻研他们前十名名单上的任何项目将讨论如何识别特定的漏洞,并建议如何消除该漏洞。所有与代码无关的东西,高级描述,所以它可以应用于任何项目,无论是.Net,Ruby,PHP等等。

票数 3
EN

Stack Overflow用户

发布于 2011-05-21 14:51:05

检查本地文件包含和远程文件包含漏洞。

您还可以检查登录系统:如果网站允许您登录(并且您有一个帐户或可以创建一个帐户),则登录并检查登录代码是如何工作的(即检查您的cookie是否是PHP会话安全或其他一些通常不安全的方法)。如果在登录系统中发现一个漏洞,则可以将您的权限从常规用户提升到admin。

另外,“上传可执行文件,具有不同的扩展名。”你能帮我澄清一下吗?

最好的办法就是运用你的想象力。

票数 1
EN

Stack Overflow用户

发布于 2012-06-24 14:07:16

您还应该使用Cat.NET的引擎(它是一个免费的Microsoft提供以安全为重点的静态分析工具)。

我一直致力于使Cat.NET更容易更快地在VisualStudio中使用,下面是一个非常酷的PoC,介绍了它的工作方式:VisualStudio内部的实时漏洞创建反馈(包括绿色和红色)

如果您对Cat.NET感兴趣,可以从http://www.microsoft.com/en-us/download/details.aspx?id=19968下载

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/6082419

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档