漏洞扫描脚本可以破坏我的服务器吗？

我不喜欢在生产服务器上运行这样一个脚本的想法，但是我们都赞成在用户和进程不受影响的时候运行它们。 例如在我指定的维护窗口中。 如果你有这样的一个窗口，你应该没有理由不运行脚本。 如果你不这样做，那么你一定要谨慎行事。

我看到的方式，更剧烈的运行脚本可能是你必须这样做的更多原因。 你应该对你的系统有信心。 在有条件的情况下让它rest比让别人按照他们的条件rest更好。

编辑：确保你有一个很好的备份开始之前。 ;）

我会犹豫是否对生产系统运行任何types的扫描脚本，原因如下：

1. 正如弗兰克分享的，意想不到的stream量可能会阻止您正在testing的系统，导致生产失败
2. 由于您正在创作（以及期望）彻底的可靠性扫描，因此您可能会错过同一窗口中的任何合法攻击。 对于testing系统来说，没有什么大不了的，因为无论如何，只要扫描完成，系统就会离线。 然而，对于一个生产体系来说，有人可能已经妥协了，你会有大量的原木需要处理。
3. 如果你不完全相信“testing者”有你的最大利益，谁说他们正在跟踪你的脆弱，以便“以后使用”？

所有这一切说，在我有一家公司对我的服务器进行扫描之前，我已经阅读了大量关于他们在线的评论，确保他们是合法的，如果他们可以select先进行一个不太侵扰性的扫描，我会监控生产系统的影响，并逐步“扫描”扫描，最后进行更有创伤的扫描。 这样，你就不会一下子把你的服务器拿下来 – 你会看到它的到来。

根据生成的通信量，您的服务器可能会被拒绝，即服务器中断，尽pipe它可能会受到限制，但反过来，扫描所需的时间也会增加。

此外，从经验来看，模糊input（SQL注入，XSS检测）的networking漏洞扫描器倾向于使应用程序将其存储在状态，即网站中断。

我会build议如果你想执行漏洞扫描，复制整个网站（脚本+数据库），并单独模糊他们。