Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/dart/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Asp.net 了解马鹿结果_Asp.net_Security_Wapiti - Fatal编程技术网
Fatal编程技术网
  • asp.net/
  • Asp.net 了解马鹿结果

Asp.net 了解马鹿结果

asp.net security

Asp.net 了解马鹿结果,asp.net,security,wapiti,Asp.net,Security,Wapiti,我在我的网络服务器上运行了Wapiti。我在前后转储数据库,删除了最后一行时间戳,发现两个文件的哈希值相同,所以我知道数据库没有被更改 但根据报告,我有几次考试都不及格。这是信息中的数据 500 HTTP Error code. Internal Server Error. The server encountered an unexpected condition which prevented it from fulfilling the request. * World Wide

我在我的网络服务器上运行了Wapiti。我在前后转储数据库,删除了最后一行时间戳,发现两个文件的哈希值相同,所以我知道数据库没有被更改

但根据报告,我有几次考试都不及格。这是信息中的数据

500 HTTP Error code.
Internal Server Error. The server encountered an unexpected condition which prevented it from fulfilling the request.

    * World Wide Web Consortium: HTTP/1.1 Status Code Definitions
    * Wikipedia: List of HTTP status codes
似乎每一个都是由ASP.NET不喜欢的格式错误的字符串引起的注意:我使用一台带有xsp的debian机器来托管。它工作得很好

我是否应该不关心生成的报告说了什么?我应该只通过手动查看页面来检查是否有任何更改或损坏

    SQL Injection (1)   Blind SQL Injection (2)     File Handling (3)   Cross Site Scripting (4)    CRLF (5)    Commands execution (6)  Resource consumption (7)    Htaccess Bypass (8)     Backup file (9)     Potentially dangerous file (10) 
High    14  14  13  0   0   14  0   0   0   0
Medium  0   0   0   0   0   0   0   0   0   0
Low     0   0   0   0   0   0   0   0   0   0
数据库恢复是一个非常好的主意。您确实需要一个填充的数据库来获得适当的代码覆盖率。您还需要确保启用了错误报告,恶劣的输入必须导致sql错误,否则马鹿可能找不到它。Wapiti确实有盲sql注入测试,但它没有那么准确

我将查看a./wapiti.py的正常输出http://yourdomain.com,这将列出所有发现的漏洞,然后您可以对其进行修补。完成第一轮修补后,重新运行wapiti以确保修补程序正常工作。它生成的报告主要针对不知道漏洞是什么的管理者和类似人员,他们只想知道自己是否安全。SQL注入可能不会损坏数据库或任何页面,Wapiti确实会进行存储xss测试,这会损坏页面,但是如果您正在恢复数据库,那么一切都应该正常。

如果您想测试SQL注入,我建议使用一种特别擅长的工具。即:

sqlmap

请注意,debian repository版本已经过时得可怕。

这似乎都是因为xsp/mono/apache不喜欢输入字符串。还好,一切都很好。我查看了正常输出,但不幸的是,我不记得它说了什么。所以我觉得我很好。@zombie24这听起来不太可能。如果看到由于恶意输入导致的SQL错误,则一般错误不会产生误报。更有可能的是,你的逃跑方法很弱。只是出于好奇,你有自己的逃跑程序吗?你用得对吗?甚至mysql\u real\u escape\u字符串也可能被误用。。。