Ладья верна, WebInspect не должен использоваться в производственной среде без тщательного рассмотрения последствий.По моему опыту, именно Crawler может причинить больше всего вреда, а не Аудит / Атаки, как все предполагают.Это связано с тем, что Crawler должен выполнять все части представленного приложения, независимо от того, чтобы выявить наиболее уязвимую поверхность.Если есть способ перевести средства или большая красная кнопка с надписью: «О, пожалуйста, не нажимайте эту кнопку, WebInspect сделает это».
Лучший способ, как описывает Рук, сканирование в тестовой среде.первый.Как только вы отработаете все изгибы при сканировании тестового экземпляра, вы сможете позже использовать эту конфигурацию сканирования на производственном сайте.Вы должны использовать обычную учетную запись уровня пользователя для аутентификации WebInspect, но вы должны использовать тестовую учетную запись, а не учетную запись реального человека.Эквивалентный, но не тот же самый.
WebInspect предлагает множество способов «придать форму» вашему сканированию.Параметр Restrict To Folder может хранить его в одном каталоге или в этом каталоге и его дочерних элементах.Session Exclusions может запретить WebInspect посещать определенные папки, URL-адреса или формы.Фильтры запроса могут использоваться для предотвращения использования определенного значения формы, в то же время разрешая все остальные.Сканирования List-Driven или Workflow-Driven в сочетании с методом Audit-Only могут ограничивать атаки одной областью и предотвращать сканирование / обнаружение остальной части сайта.
Если у вас есть дополнительные вопросы, всегда связывайтесь с клиентомПоддержите, и, возможно, попросите их Сканирующую кулинарную книгу или отдельную рецензию.
Полное раскрытие - я работал над поддержкой и продажей WebInspect с 2004 года.