¿Conoce algún software de rastreador / araña que pueda acceder a un sitio ASP.NET?

4

¿Conoces algún software de rastreador / araña que pueda pasar por la aplicación ASP.NET, no ASP.NET MVC, pero el que está lleno de funciones de __doPostBack JavaScript en cada enlace / botón / evento de cambio?

Si no existe tal aplicación, ¿cómo comienza a inspeccionar los sitios web ASP.NET? Por lo general, mi enfoque es buscar todos los archivos * .aspx en la carpeta de la aplicación y la comprobación individualizada si es posible acceder a la página sin parámetros o intentar acceder a ella a través de la GUI del sitio web, que es un asesino en tiempo real.

    
pregunta bretik 12.11.2010 - 06:29
fuente

2 respuestas

4

Los enlaces de JavaScript son un problema real para el rastreo automático. Personalmente tiendo a usar Burp suite y crear manualmente una lista de páginas al navegar por el sitio, y luego usar la exploración página por página.

En teoría, la forma de hacerlo sería utilizar una araña que confíe en el motor del navegador para realizar la exploración (por lo que algunas de las herramientas que "manejan" un navegador podrían ser útiles).

Otra opción sería obtener un motor de análisis de JavaScript disponible en su lenguaje de programación. Una cosa que vi que puede ser útil en ese frente es este proyecto de < a href="https://github.com/cowboyd/therubyracer"> rubyracer , que permite el acceso a un motor de análisis de JavaScript desde Ruby. No lo he intentado, pero estaba pensando que podría ser posible usar algo como eso para evaluar JavaScript en las presentaciones de formularios y extraer la URL apropiada para que la araña pueda seguir con eso.

    
respondido por el Rоry McCune 12.11.2010 - 11:36
fuente
0

Los ingenieros / probadores de calidad de software no confían en los rastreadores y las arañas para probar sus errores. No creo que los ingenieros / probadores de seguridad de aplicaciones deban ...

En su lugar, las SQE dependen en gran medida de los marcos de prueba de desarrollo (o arneses de prueba) como Selenium RC / Bromine, Watir / WatiN / Watij, Sahi, HtmlUnit o WebDriver. Algunos optan por las herramientas comerciales de control de calidad más avanzadas, como HP QTP, IBM Rational Functional Tester, TestComplete y VisualStudio Tester Edition 2010.

Las SQE normalmente no automatizan el ejercicio de una aplicación para el flujo de ejecución porque:

  • Las pruebas requieren un descubrimiento exploratorio, como lo haría un turista en una ciudad nueva en la que nunca han estado, a fin de alcanzar conclusiones y determinar resultados, especialmente cuando se trata de un cronograma (que son muchos los evaluadores)
  • Los conceptos como la clasificación de equivalencia pueden ahorrar horas de trabajo a los evaluadores al no tener que repetir los mismos errores una y otra vez. Las pruebas de seguridad son un poco diferentes, ya que tenemos que probar todo, pero ciertamente no lo hacemos hoy y podríamos utilizar esta técnica, especialmente cuando se trata de una caja de tiempo.

El problema con la automatización de prueba es que las aplicaciones cambian rápidamente y el arnés de prueba generalmente debe modificarse continuamente para mantenerse al día con estos cambios. En metodologías ágiles como ICONIX, las pruebas de robustez son códigos generados a partir de modelos de dominios y diagramas de secuencia (generalmente en UML), pero ciertamente hay muchas formas de automatizar la reconstrucción de casos de prueba durante la rotación de códigos y nuevas versiones, sin embargo, esto es muy frecuente. probablemente no requiere metaprogramación.

    
respondido por el atdre 14.11.2010 - 15:45
fuente

Lea otras preguntas en las etiquetas