Security 生产系统的WebInspect

我有一个客户一直在使用WebInspect对实时生产系统进行实时数据处理。他们为该工具提供了一个包含真实数据的真实用户id，并让WebInspect使用全通径表单填充。至少在一种情况下，他们破坏了生产数据。我的客户坚决认为他们必须这样做，以确保他们的网站是安全的。在我看来，这似乎是一个考虑不周的想法。其他人对此有什么看法？我一直认为WebInspect是开发人员的工具，而不是渗透测试工具。

PCI-DSS需要这种类型的测试。商家需要扫描他们的现场，每季度进行一次合格测试。像和这样的服务可以选择每天扫描您的站点。一种非常有效的方法是在发布任何更改之前测试代码库的开发构建

---

如果有一个有问题的表单污染了您的数据库，那么您应该使用CAPTCHA保护此表单。毕竟，这不是一个弱点吗？攻击者不能故意污染您的数据库吗？实际上，这是一种检测漏洞的循环方法

Rook是正确的，未经仔细考虑，WebInspect不应在生产环境中使用。根据我的经验，最能造成破坏的是爬虫程序，而不是每个人都认为的审计/攻击。这是因为爬虫应该毫无顾忌地运行所提供的应用程序的所有部分，以便暴露最大的攻击表面区域。如果有一种转移资金的方法，或者一个红色的大按钮上写着“请不要按这个按钮”，WebInspect将这样做

正如Rook所描述的，最好的方法是首先在测试环境中扫描。一旦您在扫描测试实例时解决了所有问题，那么您可以稍后在生产站点上使用该扫描配置。您应该使用普通用户级别的帐户来验证WebInspect，但您应该使用测试帐户，而不是真实用户的帐户。相等但不完全相同

WebInspect提供了一系列调整扫描形状的方法。“限制到文件夹”选项可以将其保存在一个目录中，或者该目录及其子目录中。会话排除会阻止WebInspect访问特定文件夹、URL或表单。请求筛选器可用于防止使用特定的表单值，同时允许使用其他所有表单值。列表驱动或工作流驱动扫描加上仅审核方法可以将攻击限制在一个区域，并防止对站点其余部分的爬网/发现

如果您有进一步的问题，请始终联系客户支持，并可能询问他们的扫描食谱或个人评论

---

全面披露-自2004年以来，我一直在支持和销售WebInspect。

WebInspect不应在生产环境中使用，因为服务器很有可能会停机、数据可能会损坏等。渗透测试通常在暂存或预生产环境中进行。请参阅下面的教程，其中详细说明了扫描web应用程序时必须执行的操作

---

他们为WebInspect提供一个在线帐户的真实用户ID和密码，然后让WebInspect在已经认证的帐户上填写表单。我们不希望每个步骤都需要capthca，因为用户已经登录。这就好像他们给了WebInspect一些随机用户的真实银行账户，然后当WebInspect做了一些随机的事情，比如将资金从储蓄账户转移到信用卡账户时，他们会感到惊讶。同样，他们使用的是真实的实时用户帐户，而不是测试帐户。