C＃winformアプリケーションセキュリティ脆弱性テストツール

Question

c＃ウィンドウフォーム（.net）アプリケーション用の脆弱性テストソフトウェアの推奨事項はありますか？

好ましくは、mysqlサーバまたはSQLサーバ接続でテストすることもできます。

Answer 1

優れたコードレビュー担当者または侵入テスト担当者と一致するツールはありません。しかし、いくつかのヒントは、あなたは正しい方向に向けた得るために：HP Fortifyは、IBM AppScanの、そしてCheckMarxなどの

• 静的解析ツールは、コードでセキュリティ上の問題を見つけることで素晴らしい仕事をします。しかし、それらを最大限に活用するには、経験豊富なコードレビュー担当者が本当に必要です。また、安価ではありません！これらのツールはコードをスキャンすることで動作します。主な要件は、ソフトウェアを構築するために必要なものすべてをツールに提供することです（少なくともFortifyとAppScanの場合、CheckMarxの要件が同じかどうかは不明です）。
• コントラストなどのIASTツールも安くありません。しかし、少なくともコントラストの場合、特に開発者に優しいものにしようとしています。 IASTツールは、テスト環境でバイナリにフックし、起こった悪い事を調べることによって動作します。
• OWASP ZAP（無料）やBurp（無料ではありませんが手頃な価格）などの動的分析ツールは、ご使用の環境で自動スキャンを実行できますが、経験が不足していると値が制限されます。これらのツールは、テスト環境でスキャンし、悪意のあるペイロードを送信してサーバーの応答を確認することによって機能します。継続的な統合構築環境でZAPを動作させるために多くの努力がなされています。

これらのすべてが、使用しているテクノロジに適しているはずです。