如今自動化攻擊工具包可能給Web應(yīng)用帶來最大的威脅，那么用什么好的方法可以在企業(yè)內(nèi)使用這些工具包來進行滲透測試，使用這些不穩(wěn)定的工具不會太冒風險呢？當然問題是可以被解決的。

可以在企業(yè)內(nèi)使用這些自動化攻擊工具包的好方法。事實上，它們可以被用來提高Web應(yīng)用安全，例如在進行滲透測試時?？梢酝ㄟ^向IT職員顯示使用自動化攻擊工具包入侵系統(tǒng)是多么的容易，提高他們的安全意識。使用任何安全工具都有重要的注意事項，但是它們是可以被安全使用的。為了安全地使用攻擊工具，你應(yīng)該理解該工具做什么，如何限制任何潛在的破壞以及如何從潛在的破壞中恢復。

恢復可能是從備份文件中修復相關(guān)的系統(tǒng)和數(shù)據(jù)庫，但是這可能需要大費周折。通過在非生產(chǎn)或測試環(huán)境中測試，你能夠?qū)W習如何安全地使用攻擊工具并限制其破壞程度。一些廠商和開源項目已經(jīng)提供測試站點，你可以用這些站點來測試這些工具。如果想要進行詳細的測試，還應(yīng)監(jiān)控所有的系統(tǒng)和網(wǎng)絡(luò)訪問，但是在測試環(huán)境中使用可能還不足以充分理解該工具。如果你沒有把握理解工具做了什么，如何限制潛在的破壞并從破壞中恢復，那么你可能不想在生產(chǎn)環(huán)境中運行該工具。

當運行測試SQL注入的自動Web攻擊工具包時，你可能遇到的問題之一是數(shù)據(jù)庫充滿了垃圾數(shù)據(jù)，這是由于該工具測試多個排列來判斷Web應(yīng)用是否存在漏洞所產(chǎn)生的。攻擊也可能填滿共享的日志文件。

【編輯推薦】

1. McAfee安全報告:群魔亂舞,Android手機成眾矢之的
2. Android安全性：岌岌可危還是并無大礙？
3. 國家信息安全技術(shù)研究中心欲進軍企業(yè)數(shù)據(jù)安全市場
4. 應(yīng)用層的OSI堆棧安全
5. 安全產(chǎn)品與安全管理平臺的變化