3 Stimmen

Thomas Shields avatar

Tool zum Scannen von Websites auf Schwachstellen

Gefragt el 18 de Kann, 2011
Wann wurde die Frage gestellt
1744 Ansichten
Anzahl der Besuche der Frage
1 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich habe mehrere Fragen zu diesem Thema auf SO gesehen, aber keine davon ziemlich passen, wonach ich suche. Ich habe eine ASP.NET-Site auf meinem Rechner, die ich vor kurzem fertiggestellt habe, aber ich bin ein wenig besorgt über die Sicherheit. Ich bin ziemlich sicher, dass ich es ziemlich gut hinbekommen habe, aber es gibt immer eine Chance, dass ich etwas übersehen habe.

Ich bin also auf der Suche nach einem Tool, das die folgenden Anforderungen erfüllt

  1. Scannt eine lokal gehostete (d. h. auf demselben Rechner wie das Tool) Website auf Schwachstellen
  2. Kann installiert werden (d.h. kein webbasiertes Material)
  3. (Ausarbeitung von #1)... testet ASP.NET (Web Forms, aber MVC wäre auch schön) auf SQL oder XSS Probleme. (Ich denke, XSS ist schwer zu testen, aber SQL-Injektion sollte leichter zu finden sein)

Danke! Lassen Sie mich wissen, ob ich nicht spezifisch genug bin oder ob dies besser für Webmasters SE geeignet ist.

Gefragt el 18 de Kann, 2011 von Thomas Shields

Antwort

Zu viele Anzeigen?

2voto

Simon Halsey avatar
Simon Halsey Punkte 5380

Es gibt einige Scanning-Tools, von denen einige quelloffen sind, was sehr gut ist. Die Exploits, von denen Sie sprechen, sind technologieunabhängig - jede Anwendung kann von ihnen betroffen sein, unabhängig davon, ob sie mit .net, Java, Ruby usw. arbeitet. Das macht das Testen auf sie etwas einfacher. Außerdem sind SQL-Injection- und XSS-Fehler in der Regel anwendungsspezifisch, was das automatische Testen auf sie erschwert.

Das Beste, was Sie tun können, ist, sich keine Sorgen um die Sicherheit zu machen, sondern konkrete Maßnahmen zu ergreifen, um Probleme zu lösen. Die Sicherheit sollte immer in Ihre Anwendung integriert sein. Führen Sie daher eine Codeüberprüfung Ihrer Anwendung durch. Suchen Sie nach bestimmten Dingen.

  • Haben Sie ein Inline-SQL? Ändern Sie es in irgendeiner Weise? Verwenden Sie Parameter?
  • Werden alle Benutzereingaben vor der Verwendung mit einem Escape-Effekt versehen?

Mit den obigen 2 Schritten werden die meisten SQL-Injection/XSS-Fehler beseitigt. Es gibt noch weitere Punkte, die mit der Einrichtung Ihres Servers zu tun haben. Tools zum Scannen von Schwachstellen kennen in der Regel die meisten davon und können auf sie testen.

Beantwortet el 19 de Kann, 2011 von Simon Halsey (5380 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X