我使用 NMock 单元测试参与了 ASP.NET MVC 和 ASP.NET WebAPI 的基于测试的开发,但是我编写的大多数单元测试都围绕测试功能展开。
从单元测试的角度来看:
是否有任何框架来测试接入点的漏洞 Controller 上的操作
(或任何其他组件)
从自动化/手动 QA 测试的角度来看
有没有(首选开源)工具 用于测试基于 ASP.NET MVC 的网站的漏洞,手动或自动,可用于质量保证?
最佳答案
我会以与测试在任何其他平台上构建的任何其他 Web 应用程序相同的方式来测试您的 ASP.NET MVC 应用程序。
本质上,您的攻击媒介是托管应用程序的网页和服务器。从攻击者的角度考虑它。他们无法查看 Controller 和模型中的代码,但他们可以执行以下操作。
您可以使用任意数量的应用程序来测试您的站点的 xss、csrf、sql 注入(inject)等。OWASP 是一个很好的起点
https://www.owasp.org/index.php/Main_Page
熟悉前 10 名
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
另请查看有关开源 Web 漏洞扫描程序的 SO 帖子
https://stackoverflow.com/questions/2995143/open-source-web-site-vulnerability-scanners
请记住,两个主要的攻击媒介是用户输入和服务器配置。
我还建议看看 NMap 和 MetaSploit。 Nmap 可用于查找服务器上的开放端口,MetaSploit 是用于利用漏洞的框架。
关于asp.net-mvc - ASP.NET MVC 中的漏洞测试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16513082/