51Testing软件测试论坛
标题:
关于用appscan工具扫描系统时,可以向数据库写入数据的问题
[打印本页]
作者:
li_feibo
时间:
2013-12-12 00:19
标题:
关于用appscan工具扫描系统时,可以向数据库写入数据的问题
最近测试项目,用appscan扫描应用时,会向数据库注入数据,例如:一些不符合文本框的字符类型、script代码等;但开发反馈:只要工具伪装了form表单的post操作的话,没有置空到必填项,有数据提交到数据库是正常的。
个人觉得,这种情况应该是需要解决的,而且在扫描过程中,安全测试的配置已设置为“非侵入式”了,不应再有数据注入到数据库。
各位大侠,怎么看这个问题呢?这种情况是否是属于SQL注入?欢迎大家来交流交流~~~
作者:
天士
时间:
2014-9-23 12:26
我上次使用的是“非侵入式” 结果还是存在部分表的数据被删除,排查了好久,才确定是因为appscan扫描删除的,按我的理解,“非侵入式”不应该对数据库有删除操作才对。
还有一次更严重,直接把所有的表字段里面都插入了一段乱码,整个数据库都损坏了。
我后续的解决办法是,所有的扫描单独部署环境,不适用正式环境。
我QQ149132858 一起学习讨论下。
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2