使用自動(dòng)化攻擊工具包提升Web應(yīng)用安全
如今自動(dòng)化攻擊工具包可能給Web應(yīng)用帶來(lái)最大的威脅,那么用什么好的方法可以在企業(yè)內(nèi)使用這些工具包來(lái)進(jìn)行滲透測(cè)試,使用這些不穩(wěn)定的工具不會(huì)太冒風(fēng)險(xiǎn)呢?當(dāng)然問(wèn)題是可以被解決的。
可以在企業(yè)內(nèi)使用這些自動(dòng)化攻擊工具包的好方法。事實(shí)上,它們可以被用來(lái)提高Web應(yīng)用安全,例如在進(jìn)行滲透測(cè)試時(shí)。可以通過(guò)向IT職員顯示使用自動(dòng)化攻擊工具包入侵系統(tǒng)是多么的容易,提高他們的安全意識(shí)。使用任何安全工具都有重要的注意事項(xiàng),但是它們是可以被安全使用的。為了安全地使用攻擊工具,你應(yīng)該理解該工具做什么,如何限制任何潛在的破壞以及如何從潛在的破壞中恢復(fù)。
恢復(fù)可能是從備份文件中修復(fù)相關(guān)的系統(tǒng)和數(shù)據(jù)庫(kù),但是這可能需要大費(fèi)周折。通過(guò)在非生產(chǎn)或測(cè)試環(huán)境中測(cè)試,你能夠?qū)W習(xí)如何安全地使用攻擊工具并限制其破壞程度。一些廠商和開(kāi)源項(xiàng)目已經(jīng)提供測(cè)試站點(diǎn),你可以用這些站點(diǎn)來(lái)測(cè)試這些工具。如果想要進(jìn)行詳細(xì)的測(cè)試,還應(yīng)監(jiān)控所有的系統(tǒng)和網(wǎng)絡(luò)訪問(wèn),但是在測(cè)試環(huán)境中使用可能還不足以充分理解該工具。如果你沒(méi)有把握理解工具做了什么,如何限制潛在的破壞并從破壞中恢復(fù),那么你可能不想在生產(chǎn)環(huán)境中運(yùn)行該工具。
當(dāng)運(yùn)行測(cè)試SQL注入的自動(dòng)Web攻擊工具包時(shí),你可能遇到的問(wèn)題之一是數(shù)據(jù)庫(kù)充滿了垃圾數(shù)據(jù),這是由于該工具測(cè)試多個(gè)排列來(lái)判斷Web應(yīng)用是否存在漏洞所產(chǎn)生的。攻擊也可能填滿共享的日志文件。
【編輯推薦】
