渗透测试

我见过的白帽顾问进来并使用此工具 然后给你寄来一张巨额账单。

看一眼开放Web服务计划（开放 Web 应用程序安全项目）它们非常信息丰富且免费！他们有一个非常详细的渗透测试指南你一定要看看。

我会使用的工具

网络地图姊妹工具SQL映射表

和涅索斯

还可以快速扫描 XSS 和 HTML 注入http://www.seoegghead.com/tools/scan-for-html-injection.seo还http://www.cirt.net/nikto2

确保在开发过程中已经查看过此内容开放Web服务计划

您还需要检查 MS 的安全指南 Windows Server 2008 安全指南

McAfee 安全提供相当不错的扫描服务，可以自动、按需地检查 Web 服务器、网络和网站本身。他们的扫描仪已通过 PCI 扫描认证，因此功能相当全面。

第一件事是网络扫描。由于您位于 Windows 堆栈中，因此使用禅地图并扫描 Web 服务器和两个 SQL 服务器。这将告诉您有关正在运行的开放端口和服务的信息。在综合测试中运行 zenmap。我将使用此信息来调整防火墙以阻止暴露的端口。

你还想做的另一件事是寻找SQL 注入漏洞。

搜刮器是一款用于扫描 Web 应用程序上的 SQL 注入漏洞的免费软件。

它是由 HP Web 安全研究小组与 Microsoft 安全响应中心合作开发的。

看看这个ScreenToaster 视频我创建的。它演示了对 SQL Server、端口 1433 的简单网络扫描以及基本的 SQL 注入。