ASP.NET MVC とテスト ケース プロジェクトでは、
コントローラー メソッドの既存のセキュリティ エクスプロイトに対してテストするテスト ケースを作成するにはどうすればよいでしょうか?
たとえば、偽造防止トークンが必要な呼び出しのテスト ケースをどのように作成しますか? それともXSS?
1 に答える
1
XSS をテストする最善の方法は、これらのタイプの脆弱性をテストするための専用ツールを使用することです。Wapiti と w3af はどちらも、XSS、SQL インジェクション、およびより深刻な脆弱性をテストできる優れたオープン ソース ツールです。Acunetix は使いやすいですが高価ですが、無料版は必要な XSS のみをテストします: http://www.acunetix.com/cross-site-scripting/scanner.htm
「偽造防止トークン」とは、XSRF 保護システムを指していると思います。XSRF に対して自動テストを作成できるとは思えません。XSRF は、リクエストで送信されるデータのタイプとはまったく関係ありませんが、データがどこから来ているかは関係ありません。XSRF をテストするためのツールが作成されており、w3af にはこれらのテストの 1 つがあります。しかし、私が見たすべての自動化された XSRF テストは、まったく価値がありません。XSRF テストを正しく実行したい場合は、自分で実行する必要があります: http://www.owasp.org/index.php/Testing_for_CSRF_%28OWASP-SM-005%29
于 2010-01-15T22:36:40.930 に答える