有没有人知道免费的自动测试工具来测试asp.net网站的安全性、连接池等,我用了netsparker社区版,但功能非常有限。
浏览 1提问于2011-12-07得票数 1
回答已采纳
7回答
我正在寻找一个新的工具,为ol‘管理工具包,并将有价值的一些建议。
我想做一些“自动”测试的几个网站XSS (跨站点脚本)秃鹫,以及检查SQL注入机会。我意识到自动化工具方法并不一定是唯一或最好的解决方案,但我希望它能给我一个好的开始。
我需要扫描的站点涵盖了从PHP / MySQL到Cold聚变的堆栈范围,并混合了一些经典的ASP和ASP.NET以获得良好的效果。
你会用什么工具扫描Web应用程序秃鹫?
(请注意,我直接关注的是网络应用,而不是服务器本身)。
浏览 0提问于2009-07-26得票数 5
回答已采纳
我知道微软提供了一个工具,告诉你关于coss网站,脚本攻击等。该工具是
但是,有没有你用过的.NET应用程序的类似工具,哪一个在ASP .Net应用程序中被广泛使用?
浏览 0提问于2010-05-15得票数 2
回答已采纳
1回答
网站漏洞扫描工具
、、
关于这件事,我见过几个问题,但没有一个完全符合我想要的。我有一个ASP.NET站点在我的机器上,我最近完成了,但我有点担心安全。我很肯定我做得很好,但总有一次我错过了什么。
因此,我正在寻找一个满足以下需求的工具
vulnerabilitiesCan 扫描本地托管的网站(如在同一台机器上作为工具),以便安装 be (即,没有基于#1的基于web的)。测试ASP.NET (Web,但MVC也不错)以解决SQL或XSS问题。(我认为XSS很难测试,但是SQL注入应该更容易找到)
谢谢!让我知道我是否不够具体,或者这是否更适合于网站管理员SE。
浏览 3提问于2011-05-18得票数 3
回答已采纳
2回答
我在安全测试方面很新。
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。
一些服务也使用OAUTH。
谢谢
浏览 0提问于2016-06-20得票数 3
任何人都知道好格式的字符串漏洞教程/视频演示如何在web应用程序上进行测试,比如修改URL。我已经看过Vivek的视频从安全管和另一个从CarolinaCon,但我正在寻找一个更详细的/可视化的演示如何将其应用于web应用程序笔试。此外,我还见过其他易受攻击的web应用程序,如Damn vulnerable App和Web山羊,以及其他一些应用程序,但是,除了修改易受攻击的链接和/或程序的代码之外,我似乎找不到攻击者如何通过Web浏览器攻击格式字符串漏洞,以及如何防范这种漏洞。
这一切都源于读取不同的外部扫描报告,这些报告似乎总是包含位于www.domainname.com/default.a
浏览 0提问于2011-12-20得票数 6
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
3回答
我正在开发/托管一个AWS上的Asp.Net IIS网站。我添加了StackExchange.Exceptional,在最初的几天中,我得到了访问以下页面的异常:
/CFIDE/administrator/
和
/muieblackcat/
我发现第一个是扫描来尝试访问一些冷融合管理页面,第二个是扫描PHP vunerabilities.
我很冷静,因为我使用的是MS堆栈,但我知道还有用于IIS/ASP.Net服务器的扫描器。
在ASP.Net/IIS堆栈中,我可以做什么/使用哪些措施/工具来防御这种扫描器?
浏览 0提问于2017-04-18得票数 2
回答已采纳
题目在题目里。我似乎找不到一个直截了当的答案,泰伯似乎在他们的网站上回避一个“是/否”的答案。几年前,有人告诉我,Qualys是由PCI批准的PCI遵从性,而Nessus当时没有。这一切都变了吗?
浏览 0提问于2016-08-11得票数 0
回答已采纳
2回答
我参与了基于ASP.NET MVC和ASP.NET WebAPI的基于测试的开发,使用NMock单元测试,但是我编写的大多数单元测试都围绕着测试功能。
从单元测试的角度看 :
是否有任何框架来测试控制器(或任何其他组件)上的访问点操作的漏洞。
从自动化/手动QA测试的角度来看
是否有任何(更喜欢开源的)工具来测试建立在ASP.NET MVC、手动或自动基础上的网站的漏洞,这些漏洞可以用于质量保证?
浏览 4提问于2013-05-12得票数 9
与手动查找漏洞相比,像w3af这样的工具在查找web应用程序漏洞方面有多有效?他们是否能够从OWASP前10名中找到所有漏洞,如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传?还是会有一些漏洞从裂缝中掉下来,而仍未被发现?
浏览 0提问于2014-11-27得票数 3
我开发了一个web应用程序,主要是在PHP和JavaScript中使用一些AJAX。
我并没有这种体验,但我喜欢尝试一些工具,比如sqlmap,看看我的代码中是否有任何缺陷。
或者,如果您知道一些代码,我可以尝试各种形式,这也可能是有帮助的!
浏览 0提问于2015-12-24得票数 -4
回答已采纳
2回答
端口扫描器(如nessus和openvas )基本上用于识别网络的漏洞。我的问题是,有恶意的人是否能够以更具敌意的方式使用这些法律工具?如果这是可能的,我认为这是可能的,这些工具有哪些特性可以被利用来攻击别人呢?
浏览 0提问于2015-04-19得票数 4
回答已采纳
我在Apache日志文件上使用了尾,并注意到以下内容:
/cie/insxp5/update.ins
/rpam/homepage-e.asp
/rpam/Training-e.asp
从简短的googling会话中,我认为rpam URL指的是Ruby或Redmine身份验证吗?另一个URL似乎表示有人试图用LaCie远程管理登录到设备上?
不知道别人以前是否见过这个?
编辑#1长话短说,包含/rpam的链接实际上是有效的请求。那些含有/cie的还在空中。
浏览 0提问于2013-05-01得票数 1
回答已采纳
3回答
我正在开发一个web应用程序。我曾经用过Joomla这样的东西来做一些很棒的东西,但现在我终于用上了PHP、MySQL和CodeIgniter。
当你制作一个严肃的web应用程序来处理大量数据时,我应该对我的数据输入采取什么预防措施来完全清理它?我知道有明显的修剪,转义,xss清理等-但是我应该结合哪些其他技术来阻止注入到数据库中?
不仅如此,有没有什么非破坏性的数据库注入代码可以用来测试我的所有输入?也就是说,它将注入一些可见的东西,但实际上不会对我的测试数据库造成任何损害?我不是一个完全的黑客,在这方面需要一点指导。
黑客还使用什么其他常见的方法来销毁或读取用户数据,我如何自己检查?我没有
浏览 0提问于2010-02-28得票数 25
回答已采纳
4回答
我被要求对我们的系统做一些基本的渗透测试。我试图找到一些受欢迎的做法,但我没有成功。我想SYN攻击已经退役了(这里没有NT )。有人能建议一些基本步骤来测试什么,以便进行至少非常基本的渗透测试吗?谢谢
浏览 0提问于2010-04-29得票数 6
4回答
我们正在计划一种漏洞管理解决方案,因此我正在寻找诸如Nessus、Qualys和N外地等著名解决方案之间的评估标准。如果有人能分享这样的评价点,那将是非常有帮助的。
浏览 0提问于2016-06-07得票数 2
2回答
渗透测试用工具
、、
我想对我的项目执行渗透测试,以使它更安全。并修复系统中的漏洞和弱点。
漏洞允许攻击者攻击或控制我们的系统,因此我希望使我的项目更安全。
我在谷歌上搜索了一份工具列表,但我想知道大多数人使用的工具是什么,哪些是最著名的渗透测试工具。
浏览 0提问于2016-12-22得票数 2
回答已采纳
我们的解决方案包含jquery和javascript文件。我们希望集成这些文件的扫描工具。
我们已经使用了一个工具来进行静态代码分析,它无法识别嵌入式jquery代码。
请建议我应该使用什么工具,或者你使用什么工具来完成这样的任务。
浏览 0提问于2023-02-24得票数 1
我在读一本来自著名证书的白帽黑客书。他们说,黑客攻击web服务器的方法是:
信息收集(域名、DNS、IP等)
脚印(例如:抓横幅)
网站镜像
漏洞扫描
会话劫持
密码破解
除了会话劫持和信息收集之外,我不明白为什么我不会仅仅推出和/或Nessus来查找所有的弱点。
如果您可以自动执行手动测试,这有什么意义呢?
例如,如果漏洞扫描器不知道如何查找易受攻击的cookie,如果我手动找到一种方法来执行会话劫持,我将无法为此对Nessus的Acunetix进行培训。即使我这么做了,我也不知道这会有多大好处。
请解释我为什么不让我的工具为我做黑客。
浏览 0提问于2020-02-29得票数 31
2回答
我被要求在我们的开发过程中集成代码审核工具HP Fortify,但是它的主要限制是不应该每次扫描整个代码:只应该分析受上一个待办事项影响的类。
我们使用Jenkins和SonarQube,所以我看了一下可用的插件,但是找不到符合要求的东西:不要每次都扫描整个代码。
您知道有什么工具或HP配置可以满足我的需要吗?
浏览 0提问于2017-04-18得票数 3
2回答
PHP安全漏洞的渗透测试
、、、
我正在做一篇关于“识别和测试网站安全漏洞”的本科生研究论文。最初,我认为我应该手动测试,因为我在我的方法中指定,我只测试几个选定的漏洞,即SQL注入,跨站脚本,错误报告,会话劫持和输入验证。但当我继续研究时,我发现所有的文章和教程都建议使用软件。
我有几个我的伙伴管理的网站,所以我想在他们的网站上进行测试。我正在检查半打网站上的一些漏洞。我应该使用渗透测试工具,还是只做动态渗透测试而不使用软件?
浏览 2提问于2015-05-25得票数 2
回答已采纳
3回答
我想知道是否有任何工具来测量或测试一个网站的安全性?
我编写了一些ASP.NET web应用程序,所以我想测量我自己的应用程序的安全性,如果有任何类似于sql或XSS的东西,我可以修复它。
谢谢
浏览 0提问于2011-01-17得票数 6
回答已采纳
1回答
我正在一个apache服务器上实现mod_security。为了测试保护的有效性,我正在寻找一个能够生成一组预定义的恶意HTTP请求的客户端。我将在启用和不启用mod_security的情况下测试请求,并根据日志查看恶意请求被阻止的百分比。
您知道有什么好的工具来生成一组预定义的恶意HTTP请求吗?
浏览 0提问于2011-06-01得票数 3
回答已采纳
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
2回答
我想检查和验证我的C#/Asp.net应用程序中的安全威胁,并想知道是否有任何C#,asp.net安全库可以检查常见的攻击,如会话劫持,DoS,脚本注入等?
浏览 1提问于2012-01-03得票数 4
我已经下载了我的网站/数据库,并在Centos 7服务器本地重新创建它。我想给它一个很好的锤击,以便找到和修复任何漏洞。有人能推荐一款能帮我完成这个功能的软件吗?开源就太棒了!
浏览 0提问于2016-09-27得票数 -5
1回答
恶意软件扫描网站代码?
、、、、
我有多个使用工具扫描的Linux CentOS服务器,当它在我的服务器上发现一些恶意代码(共享/专用)时,这些站点的排名就会下降。
我正在寻找的是一个服务器扫描仪,扫描.php,.js文件和类似的恶意软件代码,这样我就可以在谷歌降低该网站排名之前做出反应。
我已经找到了一个php恶意软件扫描仪(nbs-system/ PHP -恶意软件-查找器:检测潜在的恶意PHP文件),还在努力使它工作,但我想找到一个更完整的解决方案,以提高我的服务器的安全性。
有服务器/网站特定的恶意软件扫描器吗?
注意:不是寻找成熟的杀毒产品,而是寻找一种,最好是开源的,扫描网页代码的恶意软件扫描仪,而不是.exe,.
浏览 0提问于2016-05-17得票数 6
回答已采纳
4回答
SQL注入漏洞
、、、
我们有一个ASP.NET/C#网站。我们的开发人员在亚洲的离岸,我刚刚发现他们一直在网站前端放置原始SQL。
我担心我们现在很容易受到SQL注入攻击。有谁知道我如何检测网站上的漏洞,以及关闭它们的最好方法是什么?
浏览 3提问于2011-12-16得票数 3
回答已采纳
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在,但我想我会问。开源会更好。
浏览 0提问于2016-01-07得票数 -2
我必须在一个组织中管理200+客户端机器(主要是Windows88.1和10)。安装了许多应用程序: web浏览器、Java、Flash &更多。是否有任何工具/技术来检查哪些机器有过时的软件,例如易受攻击的Java,并定期获得需要更新的机器的报告?
浏览 0提问于2017-03-26得票数 1
1回答
我正在配置一个Debian (拉伸) for服务器,以运行socks请求的停靠容器。因此,应用程序将能够使用在容器内运行的Dante服务器进行身份验证(在端口1080上),并与web通信。我担心潜在的漏洞,尽管我更新了iptables并将conf设置为只接受来自bridge驱动程序的CIDR 172.27.0.0/16的流量。我能找到的唯一公开的信息是使用nmap:
sudo nmap -PN -p 1080 -sV 172.27.0.2
这张打印出来:
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-06 12:22 EET
Nmap s
浏览 0提问于2021-02-06得票数 2
回答已采纳
12回答
渗透测试工具
、、
我们有成百上千的网站是用asp,.net和java开发的,我们花了很多钱让外部机构为我们的网站做渗透测试,以检查安全漏洞。有没有什么(好的)软件(付费或免费)可以做到这一点?
或者..。有没有技术文章可以帮助我开发这个工具?
浏览 24提问于2008-09-16得票数 45
回答已采纳
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。
不幸的是,我对服务器安全的所有知识都是在ufw启用和fail2ban之后结束的。(因为大多数教程也在它结束后结束。)
你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
3回答
我们公司将在PCI DSS 3.1下进行SAQ。
我们是否需要付钱给供应商来做现场扫描,或者我们是否可以使用像Nessus这样的东西来自己做扫描?
浏览 0提问于2015-06-16得票数 1
回答已采纳
4回答
我希望在实际的ASV扫描之前找到一个软件来帮助我捕捉PCI遵从性故障。在我要求其他公司这么做之前,我更愿意对自己进行扫描。有什么软件是用来做这类事情的吗?
浏览 0提问于2012-05-02得票数 -1
回答已采纳
我正在用ASP.NET建立一个网站,我想给它的用户提供一个测试他们的html5/css/javascript代码的机会。
为了达到这个目的,我实现了一个类似于W3School的Try It Yourself编辑器。
这个编辑器通过POST将当前页面上的文本区域的代码提交到文本区域旁边可视化为iframe的TryIt.aspx页面。
TryIt.aspx背后的代码如下所示
protected void Page_Load(object sender, EventArgs e)
{
RunScriptCode();
}
pr
浏览 0提问于2013-11-06得票数 1
3回答
有几个工具可用于渗透测试。其中一些是免费的,比如MSF (社区)作为商业版本。哪一个是最好的渗透测试工具。同样,也推荐一本好书。我正在寻找分布式和web应用程序的笔测试。
浏览 3提问于2011-05-26得票数 2
如何运行PHP Security Scanner和SpikePHPSecAudit?
我已经将它们提取到我的网站的根目录中,并认为它可以像phpSecInfo一样运行,您只需导航到
www.mySite.com/phpsecinfo/index.php
任何帮助都将不胜感激。
ps我使用的是Windows XP和XAMPP
浏览 1提问于2010-05-27得票数 1
回答已采纳
1回答
所以几天前,我在我的Fedora工作站上注意到了PC风扇速度的新模式。有时,一些球迷会开始比平常稍微快一些,并且会继续旋转大约30秒到一分钟。这发生在非常轻的个人电脑使用场景,如网页浏览,pdf阅读.我已经注意到了,因为我从来没有能够真正听到风扇在我的电脑在如此轻的使用场景。
无论如何,这可能是由无数的事情造成的,但作为一个基本的理智检查,我想排除恶意软件。所以我做了一件事:
检查in传感器,在CPU和GPU风扇中确实有小尖峰(~100-150 CPU)。
运行扫描
使用ps和top检查进程树是否有可疑条目
使用netstat检查打开的tcp/udp端口是否有可疑条目。
检查cron/anac
浏览 0提问于2021-03-22得票数 1
我正在开发一个使用这个书的网站。根据我的知识和这本书,我必须注意的主要问题是XSS、CRSF和SQL注入攻击。我发现有足够的资源,插件和解决方案可以防止这些攻击。有没有其他可能伤害我的网站的攻击/其他危险?
我正在使用IIS10运行一个ASP.NET CoreMVC1.0网站。
浏览 0提问于2017-12-18得票数 0
回答已采纳
1回答
我在做一个被黑的wordpress网站。乍一看,我看到了一个site.xml文件和一个/good目录,放在网站的根目录上。
site.xml包含以下头字符串:
<urlset xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"
xsi:schemaLocation="http://www.sitemaps.org/schemas/sitemap/0.9
浏览 0提问于2015-06-04得票数 0
回答已采纳
4回答
我有一个安装在工作站上的软件列表,其中包含产品名称和版本,例如,我的列表包含Mysql 6.3.8。搜索CVE的细节,我发现这个软件有一个漏洞CVE-2017-3469。在大多数流行的漏洞数据库中,是否有任何自动工具来进行这种搜索?我应该搜索的其他漏洞数据库是什么?
浏览 0提问于2017-12-11得票数 6
回答已采纳
7回答
我需要看看我正在测试的网站是否容易受到这和这等网站上的多个谷歌呆子的攻击。传统上,人们通过搜索Google中的"Index of /“+c99.php”来使用'dork‘,并获得一堆结果。
我如何能够搜索所有的书呆子为我的具体网站迅速和容易?有可能吗?
编辑:为了澄清,我可以访问,并使用一些商业付费应用程序做网页应用程序扫描。然而,我有问题的网站使用WAF和限制我的连接,这大大减慢了事情。因此,我更多的是寻找一个查询谷歌的程序,而不是扫描网站。
浏览 0提问于2013-10-07得票数 14
回答已采纳
我刚刚制作了一个WordPress插件,我想扫描一下它是否存在OWASP前十名漏洞,这里有关于如何开始的资源吗?
谢谢
浏览 0提问于2020-11-10得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
