使用自动化攻击工具包提升Web应用安全

问:因为自动化攻击工具包可能给Web应用带来最大的威胁,有什么好的方法可以在企业内使用这些工具包来进行渗透测试?使用这些不稳定的工具会不会太冒风险了?

答:是的,有可以在你企业内使用这些自动化攻击工具包的好方法。事实上,它们可以被用来提高Web应用安全,例如在进行渗透测试时。

你可以通过向IT职员显示使用自动化攻击工具包入侵系统是多么的容易,提高他们的安全意识。使用任何安全工具都有重要的注意事项,但是它们是可以被安全使用的。为了安全地使用攻击工具,你应该理解该工具做什么,如何限制任何潜在的破坏以及如何从潜在的破坏中恢复。

恢复可能是从备份文件中修复相关的系统和数据库,但是这可能需要大费周折。通过在非生产或测试环境中测试,你能够学习如何安全地使用攻击工具并限制其破坏程度。一些厂商和开源项目已经提供测试站点,你可以用这些站点来测试这些工具。如果想要进行详细的测试,还应监控所有的系统和网络访问,但是在测试环境中使用可能还不足以充分理解该工具。如果你没有把握理解工具做了什么,如何限制潜在的破坏并从破坏中恢复,那么你可能不想在生产环境中运行该工具。

当运行测试SQL注入的自动Web攻击工具包时,你可能遇到的问题之一是数据库充满了垃圾数据,这是由于该工具测试多个排列来判断Web应用是否存在漏洞所产生的。攻击也可能填满共享的日志文件。