私は、NMockユニットテストを使用してASP.NET MVCおよびASP.NET WebAPIのテストベース開発に携わってきましたが、私が書いた単体テストのほとんどはテスト機能を中心に展開されています。ユニットテストの観点からASP.NET MVCの脆弱性テスト
:
コントローラ (または任意の他のコンポーネント)のアクセスポイントアクションの脆弱性をテストするための任意のフレームワークがあります
自動化の観点から、 /手動QAテスト
ASP.NE上に構築されたウェブサイトのテスト脆弱性の(オープンソースを好む)ツールありますT MVC、手動または自動で、品質保証に使用できますか?
他のプラットフォームで構築された他のWebアプリケーションをテストするのと同じ方法でASP.NET MVCアプリケーションをテストします。
本質的に攻撃ベクトルは、アプリケーションをホストするWebページとサーバーです。攻撃者の視点から考えてみましょう。コントローラとモデルのコードを見る方法はありませんが、以下のことができます。
を通して、あなたのWebアプリケーションを悪用しようと
に精通取得しているが、これはSOオープンソースのWeb vulnerabに関する投稿もチェックアウト機能スキャナ https://stackoverflow.com/questions/2995143/open-source-web-site-vulnerability-scanners
2つの主な攻撃方法は、ユーザー入力とサーバー構成です。
NMapとMetaSploitをお勧めします。 Nmapはサーバー上のオープンポートを見つけるために使用でき、MetaSploitは脆弱性を悪用するためのフレームワークです。
もう少し調べた後、Gendarmeが手作業によるテストに役立つかもしれないことが分かった。http://www.mono-project.com/Gendarme – user2353007
あなたが見なければならない最大の分野は、通常、大規模な脆弱性を引き起こすため、ModelBindingです。例えば
はこの質問を見て、あなたが脆弱性を見つけることができるかどうかを確認:
は、これは素晴らしい質問ですが、私は疑います何もありません。共通サイトの脆弱性は多くの要因に依存します。たとえば、クロスサイトスクリプティングに対するあなたの脆弱性は、暗号化されずに残されたオスマブル値の数に依存します。あなたの変数の起源を辿るツールはありません(偽の環境ではありません)。もう1つの変数は、Secure Socket Layerで実行するページの数です。それらのページのどれも偽造攻撃について心配していません... –
ありがとうございます。私は、QAテストの観点からオープンソースのテストツールがあるかどうかを知ることにも興味がありました。 – frictionlesspulley
私も知りたいです。懐疑的なことは無関心とはまったく違う;) –