在ASP.NET MVC和测试用例项目中,
有人如何创建测试用例来测试控制器方法上的现有安全漏洞?
例如,如何为需要防伪令牌的呼叫创建测试用例?还是XSS?
答案 0 :(得分:1)
测试XSS的最佳方法是使用专用工具来测试这些类型的漏洞。 Wapiti和w3af都是很好的开源工具,可以测试XSS,SQL注入和更糟糕的漏洞。 Acunetix易于使用,但价格昂贵,但免费版仅测试您需要的XSS: http://www.acunetix.com/cross-site-scripting/scanner.htm
我认为通过“防伪伪装”你指的是XSRF保护系统。我不相信可以针对XSRF创建自动化测试。 XSRF与请求中发送的数据类型完全无关,而是与来自何处的数据无关。已经编写了用于测试XSRF的工具,w3af具有这些测试之一。但是,我所看到的每个自动化XSRF测试都是完全无用的。如果您想要正确完成XSRF测试,您必须自己动手: http://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29