请教WatchFire App Scan工具问题

shiftideal

WatchFire App Scan这个工具如果直接对生产环境的线上服务器进行扫描。如果服务器真的存在漏洞。此软件攻击成功的话，会对服务器有破坏性影响吗？比如数据库被注入。那么库中会存入一些软件攻击时留下的数据。谢谢大家帮忙解答。

asks_zhuang

扫描实时的生产环境应该注意的：

如果正在扫描的站点是实时的，那么应考虑几种可能性。
数据库可能会被扫描期间发送的人工信息所充满
可通过采取以下预防措施来减少上述情况造成的影响：
•        禁用自动表单填充（扫描配置 > 自动表单填充 > 第一个复选框）。
这将确保 Rational® AppScan® Standard 不会自动填写表单，从而提交可能会充斥数据库、公告牌或在线论坛系统的数据，也不会向管理员或版主帐户发送不需要的电子邮件。但应注意，这样做将限制 Rational AppScan Standard 到达通过提交表单来访问的站点区域的能力。在此操作方式下，Rational AppScan Standard 将仅扫描可通过跟踪链接（带有或不带参数）来访问的站点区域。
•        创建供 AppScan 使用的测试帐户。
使用测试帐户可更加轻松地跟踪数据库更改（例如，确保服务实际上未被订购），并帮助站点管理员在扫描后清理站点。
创建帐户时请考虑以下建议：
o        将数据库访问限制为仅测试记录，以便可以恢复已修改的记录。
o        确保将删除测试帐户所创建的新纪录。
o        确保将忽略测试帐户的采购订单（或其他交易）。
o        如果交易具有某种影响（如买卖股票时），那么将仅允许对测试记录的帐户访问权。
o        如果站点包含论坛，那么将仅允许对测试论坛的测试帐户访问权，以使真实客户不会看到在测试过程中创建的测试。
o        如果站点对不同帐户具有不同特权，请设置多个具有不同特权的测试帐户。这将确保更加全面地扫描站点。
o        请不要创建具有管理员级别访问权的测试帐户。
电子邮件泛滥风险
测试使用电子邮件通知的页面时，AppScan 会生成许多请求并可能使站点的电子邮件服务器超负荷。
以下一个或多个建议可帮助解决此问题：
•        临时更改所测试的页面上的电子邮件地址，以便该电子邮件发送到无效的电子邮件地址。
•        如果可行，请配置 AppScan 以从生产扫描中排除这些页面。
•        一次仅扫描一个 Web 服务器，并避免其在扫描期间连接到 SMTP 服务器。
•        如果决定保持启用“自动表单填写”，请将其配置为在电子邮件字段中插入唯一值，以便收件人可轻松识别由 AppScan 生成的电子邮件。
通过代理扫描
如果可能，请避免通过代理扫描。尽管支持这样的操作，但代理有时会使结果难以理解。
应用程序超负荷风险
应用程序可能无法在短时间内处理 AppScan 发送的大量 HTTP 请求，致使减少对实际用户的服务。
为降低发生这种问题的风险，或在发生这种问题时进行故障诊断，您应：
•        减少 Rational AppScan 同时发送的线程数量（扫描配置 > 通信和代理 > 线程数量）。
扫描被锁定在应用程序外的风险
某些应用程序配置为在一定数量的错误登录尝试后将用户锁定在外。如果在扫描期间发生此情况，那么 Rational AppScan 将明显无法完成扫描。
要避免这种情况：
•        禁用将测试发送到登录和注销页面（扫描配置 > 测试选项）。
导致应用程序故障的风险
要避免 Rational AppScan 导致活动应用程序失败的风险，可能需要在测试策略中停用侵入测试。这将确保不会发送拒绝服务、缓冲区溢出或其他可能导致应用程序或 Web 服务器故障的测试。
要点： Web 应用程序通常包含只能通过侵入测试发现的漏洞。建议您不要完全忽略侵入测试。而是应该与 Web 站点所有者或管理员协作，以测试应用程序是否包含这些类型的漏洞，或许将扫描安排在非高峰时间（应用程序预期空闲时）运行。
要禁用当前测试策略中的侵入测试，请执行以下操作：
1.        打开配置 > 测试策略。
2.        单击侵入列，以将所有侵入测试分组到一起。
3.        向下滚动侵入测试（“侵入”值为“Yes”的测试），并取消选择所有当前已选择的测试，以从扫描中将其排除。

shiftideal

非常感谢。