Un scan de vulnérabilité script peut-il casser mes serveurs ?

Je n'aime pas l'idée d'exécuter un tel script sur un serveur de production alors qu'il est nécessaire pour la production, mais je suis tout à fait favorable à leur exécution à un moment où les utilisateurs et les processus ne devraient pas être touchés. Par exemple, pendant ma fenêtre de maintenance désignée. Si vous avez une telle fenêtre à votre disposition, il ne devrait y avoir aucune raison de ne pas exécuter le script. Si vous ne l'avez pas, vous devez certainement faire preuve de prudence.

De la façon dont je vois les choses, plus vous êtes nerveux à l'idée d'exécuter le script, plus vous avez de raisons de le faire. Vous devriez avoir confiance en vos systèmes. Il vaut mieux qu'il se brise dans des conditions contrôlées que de laisser quelqu'un d'autre le faire à sa place.

Edit : Assurez-vous d'avoir une bonne sauvegarde avant de commencer ;)

J'hésiterais à exécuter un script d'analyse de quelque nature que ce soit sur des systèmes de production, pour plusieurs raisons :

1. Comme l'a dit Frank, une quantité inattendue de trafic peut bloquer le système que vous testez et provoquer une panne de production.
2. Puisque vous effectuez (et attendez) une analyse approfondie des vulnérabilités, vous risquez de passer à côté d'attaques légitimes dans la même fenêtre. Dans le cas d'un système de test, ce n'est pas grave, puisque vous mettrez le système hors ligne dès que les analyses seront terminées. Par contre, contre un système de production, quelqu'un pourrait l'avoir compromis et vous auriez des tonnes de journaux à gérer.
3. Si vous n'êtes pas totalement convaincu que le "testeur" a vos intérêts en tête, qui vous dit qu'il garde une trace de ce à quoi vous êtes vulnérable, pour une "utilisation ultérieure" ?

Cela dit, avant de demander à une entreprise d'effectuer un scan de mes serveurs, je lis beaucoup de commentaires en ligne à leur sujet, pour m'assurer qu'ils sont légitimes, et s'ils ont la possibilité d'effectuer d'abord un scan moins intrusif, je surveille l'impact sur le système de production et j'augmente le scan par étapes, jusqu'aux scans les plus invasifs en dernier. De cette façon, vous ne mettrez pas votre serveur hors service en le bombardant d'un coup - vous le verrez venir.

En fonction de la quantité de trafic généré, votre serveur peut être victime d'un DoSed, c'est-à-dire que le serveur tombe en panne, bien qu'il puisse être étranglé, mais inversement, le temps nécessaire à l'analyse augmente également.

De plus, par expérience, les scanners de vulnérabilité web qui fuzzent les entrées (injection SQL, détection XSS) ont tendance à faire en sorte que l'application les stocke dans un état, c'est-à-dire que le site web se casse.

Je vous suggère, si vous voulez effectuer un scan de vulnérabilité, de dupliquer l'ensemble du site web (scripts + base de données) et de les fuzzer séparément.