使用自动化攻击工具包提升Web应用安全

　　问：因为自动化攻击工具包可能给Web应用带来最大的威胁，有什么好的方法可以在企业内使用这些工具包来进行渗透测试?使用这些不稳定的工具会不会太冒风险了?

　　答：是的，有可以在你企业内使用这些自动化攻击工具包的好方法。事实上，它们可以被用来提高Web应用安全，例如在进行渗透测试时。

　　你可以通过向IT职员显示使用自动化攻击工具包入侵系统是多么的容易，提高他们的安全意识。使用任何安全工具都有重要的注意事项，但是它们是可以被安全使用的。为了安全地使用攻击工具，你应该理解该工具做什么，如何限制任何潜在的破坏以及如何从潜在的破坏中恢复。

　　恢复可能是从备份文件中修复相关的系统和数据库，但是这可能需要大费周折。通过在非生产或测试环境中测试，你能够学习如何安全地使用攻击工具并限制其破坏程度。一些厂商和开源项目已经提供测试站点，你可以用这些站点来测试这些工具。如果想要进行详细的测试，还应监控所有的系统和网络访问，但是在测试环境中使用可能还不足以充分理解该工具。如果你没有把握理解工具做了什么，如何限制潜在的破坏并从破坏中恢复，那么你可能不想在生产环境中运行该工具。

　　当运行测试SQL注入的自动Web攻击工具包时，你可能遇到的问题之一是数据库充满了垃圾数据，这是由于该工具测试多个排列来判断Web应用是否存在漏洞所产生的。攻击也可能填满共享的日志文件。