请教WatchFire App Scan工具问题
WatchFire App Scan这个工具如果直接对生产环境的线上服务器进行扫描。如果服务器真的存在漏洞。此软件攻击成功的话,会对服务器有破坏性影响吗?比如数据库被注入。那么库中会存入一些软件攻击时留下的数据。谢谢大家帮忙解答。 扫描实时的生产环境应该注意的:如果正在扫描的站点是实时的,那么应考虑几种可能性。
数据库可能会被扫描期间发送的人工信息所充满
可通过采取以下预防措施来减少上述情况造成的影响:
• 禁用自动表单填充(扫描配置 > 自动表单填充 > 第一个复选框)。
这将确保 Rational® AppScan® Standard 不会自动填写表单,从而提交可能会充斥数据库、公告牌或在线论坛系统的数据,也不会向管理员或版主帐户发送不需要的电子邮件。但应注意,这样做将限制 Rational AppScan Standard 到达通过提交表单来访问的站点区域的能力。在此操作方式下,Rational AppScan Standard 将仅扫描可通过跟踪链接(带有或不带参数)来访问的站点区域。
• 创建供 AppScan 使用的测试帐户。
使用测试帐户可更加轻松地跟踪数据库更改(例如,确保服务实际上未被订购),并帮助站点管理员在扫描后清理站点。
创建帐户时请考虑以下建议:
o 将数据库访问限制为仅测试记录,以便可以恢复已修改的记录。
o 确保将删除测试帐户所创建的新纪录。
o 确保将忽略测试帐户的采购订单(或其他交易)。
o 如果交易具有某种影响(如买卖股票时),那么将仅允许对测试记录的帐户访问权。
o 如果站点包含论坛,那么将仅允许对测试论坛的测试帐户访问权,以使真实客户不会看到在测试过程中创建的测试。
o 如果站点对不同帐户具有不同特权,请设置多个具有不同特权的测试帐户。这将确保更加全面地扫描站点。
o 请不要创建具有管理员级别访问权的测试帐户。
电子邮件泛滥风险
测试使用电子邮件通知的页面时,AppScan 会生成许多请求并可能使站点的电子邮件服务器超负荷。
以下一个或多个建议可帮助解决此问题:
• 临时更改所测试的页面上的电子邮件地址,以便该电子邮件发送到无效的电子邮件地址。
• 如果可行,请配置 AppScan 以从生产扫描中排除这些页面。
• 一次仅扫描一个 Web 服务器,并避免其在扫描期间连接到 SMTP 服务器。
• 如果决定保持启用“自动表单填写”,请将其配置为在电子邮件字段中插入唯一值,以便收件人可轻松识别由 AppScan 生成的电子邮件。
通过代理扫描
如果可能,请避免通过代理扫描。尽管支持这样的操作,但代理有时会使结果难以理解。
应用程序超负荷风险
应用程序可能无法在短时间内处理 AppScan 发送的大量 HTTP 请求,致使减少对实际用户的服务。
为降低发生这种问题的风险,或在发生这种问题时进行故障诊断,您应:
• 减少 Rational AppScan 同时发送的线程数量(扫描配置 > 通信和代理 > 线程数量)。
扫描被锁定在应用程序外的风险
某些应用程序配置为在一定数量的错误登录尝试后将用户锁定在外。如果在扫描期间发生此情况,那么 Rational AppScan 将明显无法完成扫描。
要避免这种情况:
• 禁用将测试发送到登录和注销页面(扫描配置 > 测试选项)。
导致应用程序故障的风险
要避免 Rational AppScan 导致活动应用程序失败的风险,可能需要在测试策略中停用侵入测试。这将确保不会发送拒绝服务、缓冲区溢出或其他可能导致应用程序或 Web 服务器故障的测试。
要点: Web 应用程序通常包含只能通过侵入测试发现的漏洞。建议您不要完全忽略侵入测试。而是应该与 Web 站点所有者或管理员协作,以测试应用程序是否包含这些类型的漏洞,或许将扫描安排在非高峰时间(应用程序预期空闲时)运行。
要禁用当前测试策略中的侵入测试,请执行以下操作:
1. 打开配置 > 测试策略。
2. 单击侵入列,以将所有侵入测试分组到一起。
3. 向下滚动侵入测试(“侵入”值为“Yes”的测试),并取消选择所有当前已选择的测试,以从扫描中将其排除。 非常感谢。:handshake
页:
[1]