51Testing软件测试论坛

标题: 关于用appscan工具扫描系统时，可以向数据库写入数据的问题 [打印本页]

作者: li_feibo 时间: 2013-12-12 00:19
标题: 关于用appscan工具扫描系统时，可以向数据库写入数据的问题
最近测试项目，用appscan扫描应用时，会向数据库注入数据，例如：一些不符合文本框的字符类型、script代码等；但开发反馈：只要工具伪装了form表单的post操作的话，没有置空到必填项，有数据提交到数据库是正常的。
个人觉得，这种情况应该是需要解决的，而且在扫描过程中，安全测试的配置已设置为“非侵入式”了，不应再有数据注入到数据库。
各位大侠，怎么看这个问题呢？这种情况是否是属于SQL注入？欢迎大家来交流交流~~~

作者: 天士 时间: 2014-9-23 12:26
我上次使用的是“非侵入式” 结果还是存在部分表的数据被删除，排查了好久，才确定是因为appscan扫描删除的，按我的理解，“非侵入式”不应该对数据库有删除操作才对。
还有一次更严重，直接把所有的表字段里面都插入了一段乱码，整个数据库都损坏了。
我后续的解决办法是，所有的扫描单独部署环境，不适用正式环境。

我QQ149132858 一起学习讨论下。

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)