SCIP: Avaliação de Segurança em Aplicações Asp.NET

SCIP é uma extensão OWASP ZAP que foi projetada para avaliar a segurança de aplicações ASP.net e Mono. É uma plataforma única, que permite que os pentesters tirem proveito de falhas de programação em frameworks de aplicação Web modernas e erros de configuração específicos. A extensão, atualmente, suporta recursos que incluem a identificação da invisibilidade, problemas relacionados a controles server side Web em ASP.net - passivamente, além da capacidade de identificar qual a configuração de segurança ASP.net é ativada em cada página (EventValidation, MAC), e em quais dos casos os invisible controls são exploráveis.

Há ainda a capacidade de enumerar os nomes dos invisible controls usando built-ins personalizáveis ​​(dicionários) com ASP.net; reconstruir a validação do evento, sempre que possível (MAC = off); executar invisible controls quando uma das características de segurança estiver em modo off, ou quando houver um server-side callback implementation flaw.


Saiba Mais:

[1] SCIP - Server Control Invisibility Purge! https://code.google.com/p/ria-scip/