安全测试网站

Question

我目前正在完成一项学校作业,要求我们在一个同行创建的网站上进行安全测试.该网站使用ASP.Net 3.5/4和MS-SQL数据库创建.

该网站的主要特点是:

• 使用角色注册和登录
• 上传文件
• 共享上传的文件
• 留下对共享文档的评论

我已经开始使用以下方法测试网站:

• 注册,登录和离开注释部分中的XSS
• 注册和登录页面中的SQL注入
• 上传可执行文件,使用不同的扩展名(我已经更改了可执行文件.doc以测试系统是否正在检查文件的扩展名或实际内容)

这些测试是手动执行的,我可以访问源代码!

你能否提出我可能想要进行的其他测试？

干杯

Answer 1

OWASP是一个很好的锁定事物的资源，我链接到了他们的“十大”项目，因为我自己也遵循它来锁定应用程序，发现它确实很有帮助。

深入研究前十名列表中的任何项目将讨论如何识别特定漏洞并建议如何消除该漏洞。所有与代码无关的内容、高级描述，因此它可以应用于任何项目，无论是 .Net、Ruby、PHP 等。