网站漏洞扫描工具

Question

我在 SO 上看到了几个关于此的问题，但没有一个 非常 符合我的要求。我最近完成的机器上有一个 ASP.NET 站点，但我有点担心安全性。我很确定我已经做得很好了，但总有机会我错过了一些东西。

所以，我正在寻找满足以下要求的工具

1. 扫描本地托管（与工具在同一台机器上）网站以查找漏洞
2. 可以安装（即没有基于网络的东西）
3. （详细说明 #1）... 测试 ASP.NET（Web 窗体，但 MVC 也不错）以解决 SQL 或 XSS 问题。 （我认为 XSS 很难测试，但 SQL 注入应该更容易找到）

谢谢！让我知道我是否不够具体，或者这是否更适合 Webmasters SE。

Answer 1

周围有一些扫描工具，其中一些是开源的，这很好。您所说的漏洞利用与技术无关——任何应用程序都可能受到它们的影响，无论它是 .net、java、ruby 等。这使得对它们的测试稍微容易一些。此外，SQL 注入和 XSS 错误通常是特定于应用程序的，这使得自动测试它们变得更加困难。

您能做的最好的事情就是不要担心安全性，而是采取具体措施来解决问题。应始终将安全性设计到您的应用程序中。因此，对您的应用程序进行代码审查。寻找具体的东西。

• 您有任何内联 SQL 吗？你有没有修改它？你在使用参数吗？
• 您是否在使用任何用户输入之前对其进行转义？

以上 2 个步骤将消除大多数 SQL 注入/XSS 错误。您的服务器设置还有其他问题。漏洞扫描工具通常知道其中的大部分并且可以对其进行测试。