问:因为自动化攻击工具包可能给Web应用带来最大的威胁,有什么好的方法可以在企业内使用这些工具包来进行渗透测试?使用这些不稳定的工具会不会太冒风险了?
答:是的,有可以在你企业内使用这些自动化攻击工具包的好方法。事实上,它们可以被用来提高Web应用安全,例如在进行渗透测试时。
你可以通过向IT职员显示使用自动化攻击工具包入侵系统是多么的容易,提高他们的安全意识。使用任何安全工具都有重要的注意事项,但是它们是可以被安全使用的。为了安全地使用攻击工具,你应该理解该工具做什么,如何限制任何潜在的破坏以及如何从潜在的破坏中恢复。
恢复可能是从备份文件中修复相关的系统和数据库,但是这可能需要大费周折。通过在非生产或测试环境中测试,你能够学习如何安全地使用攻击工具并限制其破坏程度。一些厂商和开源项目已经提供测试站点,你可以用这些站点来测试这些工具。如果想要进行详细的测试,还应监控所有的系统和网络访问,但是在测试环境中使用可能还不足以充分理解该工具。如果你没有把握理解工具做了什么,如何限制潜在的破坏并从破坏中恢复,那么你可能不想在生产环境中运行该工具。
当运行测试SQL注入的自动Web攻击工具包时,你可能遇到的问题之一是数据库充满了垃圾数据,这是由于该工具测试多个排列来判断Web应用是否存在漏洞所产生的。攻击也可能填满共享的日志文件。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
关于信息安全评估,需要get的重点
即使周期性持续地执行,安全评估也不是解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复……
-
Kali Linux渗透测试五步曲
Kali Linux的设计目的是渗透测试。不管渗透测试者的起点是白盒测试、黑盒测试,还是灰盒测试,在用Kali或其它工具进行渗透测试时,需要遵循一些步骤。
-
做一名安静的Web渗透测试人员 要必备的8种素质和技能
公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?本文的八项素质或技能或可为公司选聘Web渗透测试人员提供参考……