Создание тестовых примеров против уязвимости безопасности HTML
https://stackoverflow.com/questions/2067417
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
В ASP.NET MVC вместе с проектом тестового примера
Как создать тестовый пример для проверки существующих уязвимостей безопасности в методе контроллера?
Например, как создать тестовый пример для вызова, которому нужен токен защиты от подделки?Или XSS?
Решение
Лучший способ проверить XSS — использовать специализированный инструмент для тестирования этих типов уязвимостей.Wapiti и w3af — хорошие инструменты с открытым исходным кодом, которые могут проверять XSS, SQL-инъекцию и другие уязвимости.Acunetix прост в использовании, но стоит дорого, однако бесплатная версия проверяет только XSS, а это то, что вам нужно:http://www.acunetix.com/cross-site-scripting/scanner.htm
Я полагаю, что под «токеном защиты от подделки» вы имеете в виду систему защиты XSRF.Я не верю, что можно создать автоматический тест XSRF.XSRF не имеет никакого отношения к типу данных, отправляемых в запросе, а скорее к тому, откуда они поступают.Для проверки XSRF написаны инструменты, и у w3af есть один из таких тестов.Однако каждый автоматический тест XSRF, который я видел, ПОЛНОСТЬЮ БЕСПОЛЕЗЕН.Если вы хотите, чтобы тест XSRF был выполнен правильно, вам придется сделать это самостоятельно:http://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29
