51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3552|回复: 2
打印 上一主题 下一主题

请教WatchFire App Scan工具问题

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2011-1-6 11:16:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
WatchFire App Scan这个工具如果直接对生产环境的线上服务器进行扫描。如果服务器真的存在漏洞。此软件攻击成功的话,会对服务器有破坏性影响吗?比如数据库被注入。那么库中会存入一些软件攻击时留下的数据。谢谢大家帮忙解答。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2011-1-6 13:43:17 | 只看该作者
扫描实时的生产环境应该注意的:

如果正在扫描的站点是实时的,那么应考虑几种可能性。
数据库可能会被扫描期间发送的人工信息所充满
可通过采取以下预防措施来减少上述情况造成的影响:
•        禁用自动表单填充(扫描配置 > 自动表单填充 > 第一个复选框)。
这将确保 Rational® AppScan® Standard 不会自动填写表单,从而提交可能会充斥数据库、公告牌或在线论坛系统的数据,也不会向管理员或版主帐户发送不需要的电子邮件。但应注意,这样做将限制 Rational AppScan Standard 到达通过提交表单来访问的站点区域的能力。在此操作方式下,Rational AppScan Standard 将仅扫描可通过跟踪链接(带有或不带参数)来访问的站点区域。
•        创建供 AppScan 使用的测试帐户。
使用测试帐户可更加轻松地跟踪数据库更改(例如,确保服务实际上未被订购),并帮助站点管理员在扫描后清理站点。
创建帐户时请考虑以下建议:
o        将数据库访问限制为仅测试记录,以便可以恢复已修改的记录。
o        确保将删除测试帐户所创建的新纪录。
o        确保将忽略测试帐户的采购订单(或其他交易)。
o        如果交易具有某种影响(如买卖股票时),那么将仅允许对测试记录的帐户访问权。
o        如果站点包含论坛,那么将仅允许对测试论坛的测试帐户访问权,以使真实客户不会看到在测试过程中创建的测试。
o        如果站点对不同帐户具有不同特权,请设置多个具有不同特权的测试帐户。这将确保更加全面地扫描站点。
o        请不要创建具有管理员级别访问权的测试帐户。
电子邮件泛滥风险
测试使用电子邮件通知的页面时,AppScan 会生成许多请求并可能使站点的电子邮件服务器超负荷。
以下一个或多个建议可帮助解决此问题:
•        临时更改所测试的页面上的电子邮件地址,以便该电子邮件发送到无效的电子邮件地址。
•        如果可行,请配置 AppScan 以从生产扫描中排除这些页面。
•        一次仅扫描一个 Web 服务器,并避免其在扫描期间连接到 SMTP 服务器。
•        如果决定保持启用“自动表单填写”,请将其配置为在电子邮件字段中插入唯一值,以便收件人可轻松识别由 AppScan 生成的电子邮件。
通过代理扫描
如果可能,请避免通过代理扫描。尽管支持这样的操作,但代理有时会使结果难以理解。
应用程序超负荷风险
应用程序可能无法在短时间内处理 AppScan 发送的大量 HTTP 请求,致使减少对实际用户的服务。
为降低发生这种问题的风险,或在发生这种问题时进行故障诊断,您应:
•        减少 Rational AppScan 同时发送的线程数量(扫描配置 > 通信和代理 > 线程数量)。
扫描被锁定在应用程序外的风险
某些应用程序配置为在一定数量的错误登录尝试后将用户锁定在外。如果在扫描期间发生此情况,那么 Rational AppScan 将明显无法完成扫描。
要避免这种情况:
•        禁用将测试发送到登录和注销页面(扫描配置 > 测试选项)。
导致应用程序故障的风险
要避免 Rational AppScan 导致活动应用程序失败的风险,可能需要在测试策略中停用侵入测试。这将确保不会发送拒绝服务、缓冲区溢出或其他可能导致应用程序或 Web 服务器故障的测试。
要点: Web 应用程序通常包含只能通过侵入测试发现的漏洞。建议您不要完全忽略侵入测试。而是应该与 Web 站点所有者或管理员协作,以测试应用程序是否包含这些类型的漏洞,或许将扫描安排在非高峰时间(应用程序预期空闲时)运行。
要禁用当前测试策略中的侵入测试,请执行以下操作:
1.        打开配置 > 测试策略。
2.        单击侵入列,以将所有侵入测试分组到一起。
3.        向下滚动侵入测试(“侵入”值为“Yes”的测试),并取消选择所有当前已选择的测试,以从扫描中将其排除。
回复 支持 反对

使用道具 举报

该用户从未签到

3#
 楼主| 发表于 2011-1-6 18:09:59 | 只看该作者
非常感谢。
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-8 06:04 , Processed in 0.067308 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表