常见的网络攻击

Question

  

可能重复：
  Preparing an ASP.Net website for penetration testing

如何跨用户攻击测试已内置的网站？ 我有一个用.NET开发的流程管理系统，现在在将它投入生产环境之前，我想通过一系列的攻击来测试它。

我很感激，如果有人可以分享一些常见的攻击，这些攻击通常应用于Web应用程序，我知道一些例如未经授权的访问，URL嵌入式攻击，sql注入等等。

请分享您的经验和建议，谢谢。

Answer 1

清单：

Web Application Security Guide/Checklist

有许多免费工具可供您试用：

• Netsparker：Netsparker Community Edition是一个SQL注入扫描程序。
• Websecurify
• Watcher：Watcher是一个Fiddler插件，旨在帮助渗透测试人员被动地发现Web应用程序漏洞。
• Wapiti：Web应用程序漏洞扫描程序/安全审核员
• N-Stalker
• skipfish：Skipfish是一种活跃的Web应用程序安全侦察工具。它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点地图。然后使用来自许多活动（但希望无中断）安全检查的输出来注释生成的映射。该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。
• Scrawlr
• x5s：x5s是一个Fiddler插件，旨在帮助渗透测试人员找到跨站点脚本漏洞。它的主要目标是通过以下方式帮助您识别可能发生XSS的热点：1。检测安全编码未应用于发出的用户输入的位置。 2.检测Unicode字符转换可能绕过安全筛选器的位置。 3.检测非最短UTF-8编码可能绕过安全过滤器的位置
• Exploit-Me：Exploit-Me是一套Firefox Web应用程序安全测试工具，旨在实现轻量级且易于使用。

Free Web Application Security Testing Tools