我想检查并验证我的C#/ Asp.net应用程序中的安全威胁,并想知道是否有任何C#,asp.net安全库可以检查常见的攻击,即会话劫持,DoS,脚本注入等?
答案 0 :(得分:7)
Microsoft提供Anti-Cross Site Scripting Library:
AntiXSS可帮助您保护当前的应用程序免受跨站点脚本攻击,同时帮助您使用其安全运行时引擎保护您的旧应用程序。通过与客户和合作伙伴的反馈,AntiXSS结合了彻底和创新的重新思考功能,为您提供了一种更新,更强大的武器,可以抵御常用的跨站点脚本(XSS)攻击。 AntiXSS为您提供:
- 改善表现。 AntiXSS已经完全重写了性能,但仍然保留了对您的应用程序依赖的XSS攻击的基本保护。
- 安全全球化。网络是一个全球市场,跨站点脚本是一个全球性问题。攻击可以在任何地方编码,Anti-XSS现在可以防止以数十种语言编码的XSS攻击。
- 标准合规性。编写AntiXSS是为了符合现代Web标准。您可以保护您的Web应用程序,而不会对其UI产生负面影响。
许多其他安全功能都嵌入到ASP.NET和IIS中,就SQL而言,您应该使用参数化查询。
在网络方面,OWASP projects page上列出了几个.NET项目:
OWASP .NET项目:
OWASP .NET项目的目的是为使用Microsoft .NET Framework进行Web应用程序和服务的软件专业人员提供信息和工具的中央存储库。
AntiSamy.NET:
OWASP AntiSamy .NET项目有几点。从技术上讲,它是一个API,用于确保用户提供的HTML / CSS符合应用程序规则。
您可能还想查看Troy Hunt的新IIS漏洞扫描程序 - asafaweb。
答案 1 :(得分:1)
netsparker community edition (免费)允许您扫描您的网站以查找XSS,sql注入漏洞 - 但不是这样的库。它很好地描述了漏洞以及覆盖它们的方法。