A.4 滲透測試風險

在滲透測試過程中，測試人員通常會利用攻擊者常用的工具和技術來對被測系統和數據發動真實的攻擊，必然會對被測系統帶來安全風險，在極端情況或應用系統存在某些特定安全漏洞時可能會產生如下安全風險：

a) 在使用Web漏洞掃描工具進行漏洞掃描時，可能會對Web服務器及Web應用程序帶來一定的負載，占用一定的資源，在極端情況下可能會造成Web服務器宕機或服務停止；

b) 如Web應用程序某功能模塊提供對數據庫、文件寫操作的功能（包括執行Insert、Delete、Update等命令），且未對該功能模塊實施數據有效性校驗、驗證碼機制、訪問控制等措施，則在進行Web漏洞掃描時有可能會對數據庫、文件產生誤操作，如在數據庫中插入垃圾數據、刪除記錄/文件、修改數據/文件等；

c) 在進行特定漏洞驗證時，可能會根據該漏洞的特性對主機或Web應用程序造成宕機、服務停止等風險；

d) 在對Web應用程序/操作系統/數據庫等進行口令暴力破解時，可能觸發其設置的安全機制，導致Web應用程序/操作系統/數據庫的賬號被鎖定，暫時無法使用；

在進行主機遠程漏洞掃描及進行主機/數據庫溢出類攻擊測試，極端情況下可能導致被測試服務器操作系統/數據庫出現死機或重啟現象。