C# 对混合web和桌面应用程序进行安全测试

设置上下文： 我们有一个内部应用程序，最初是一个web应用程序，但现在使用windows桌面模型而不是浏览器进行渲染。因此，web应用程序不是在浏览器中打开，而是在用C编码的无模式窗口中打开。用户必须安装一个小的exe来设置无模式窗口

您将单击自定义构建的工具栏，而不是文件、编辑、视图选项等，这些工具栏将启动无模式窗口并触发HTML请求。响应将在无模式窗口中呈现

问题: 当Appscan是一个纯浏览器应用程序时，我们曾经使用它进行安全测试。我们也使用钢笔测试器。但是，Appscan不适用于无模式windows模型。它只捕获第一个请求，通常是登录请求。 您是否知道有任何工具或测试框架/模型可以对此类应用进行安全测试

我确实试过查看相关链接，但它们似乎都指向纯基于浏览器的web测试。像这个：

提前谢谢

编辑：一个例子-看看

---

如何让appscan在无模式窗口中扫描请求响应。

除了登录，还需要测试哪些安全性？实际上，您已经创建了一个哑终端，它将命令传递给服务器并呈现来自该服务器的响应

---

如果您确实需要一些自动测试仪来工作，那么为您的EXE dumbeTermina.EXE/test创建一个命令行开关，该开关使用模拟所有菜单和其他命令的简单按钮呈现常规windows窗体。

什么？你想要什么样的保安？该应用程序是winforms应用程序吗？我不明白您希望在这里得到什么答案。该应用程序最初是一个纯web应用程序，具有HTML/JSP/JAVA/WEBSPHERE后端。但是，内容太重，无法在默认IE浏览器中渲染，因此我们将其修改为使用桌面窗口进行渲染。这是提高客户端计算机性能的唯一更改。然而，这似乎让appscan感到困惑。如果我使用fiddler 2，它会捕获请求和响应。但是，appscan现在无法探索和测试此应用程序。我们希望对appdesktop进行一次完整的商业安全测试，windows不会告诉我您使用了哪种UI技术。另外，我不明白，拥有这样一个只从服务器发送和接收web请求的愚蠢应用程序，怎么会加速任何事情。如果你需要一个桌面应用程序，你必须做一个桌面应用程序。桌面用户界面用C编码。它使用System.Windows.Forms。问题在于客户端有大量的处理活动和数据。您将从appserver获取1000多行，并且要求它们都显示在UI上。浏览器无法处理此类活动。据我所见，我认为这之前没有做过，所以可能需要一些解释。谢谢你的耐心。如果你有问题，我会回答的。我仍然不知道你期望什么样的安全测试。安全性是一个非常宽泛的术语，它没有告诉我您希望进行哪种测试。桌面应用程序与web应用程序非常不同，因为Winforms应用程序中没有脚本注入、xss等功能。谢谢您的回复！终端是System.Windows.Forms类型。它也会根据响应进行更新。菜单项会更改，显示的选项将根据用户角色显示。到目前为止，看起来我们可能不得不修改exe以允许进行此类测试。我试着上传一个快照，但看起来好像没用。我们正在寻找一个完整的商业安全测试的应用程序，我已经添加了一个例子链接的问题，我试图解决。