沒有辦法讓pentester能夠100％確保不會修改或刪除數據，就像他們無法確保不會影響系統可用性一樣（我已經用端口將系統撞倒了）掃描或單個'字符）。就像您說的那樣，如果網絡抓取工具設置不正確，它就可以從系統中刪除數據。

我要說的是，諸如“將竭盡所能確保測試不會對正在檢查的系統產生負面影響，也不會刻意嘗試修改或刪除生產數據或對范圍內系統的可用性產生負面影響，但是，在進行所有安全性測試時，都有可能會影響系統和客戶應該確保在審查開始之前就已經對所有數據和系統進行了備份。

一個聲稱自己將永遠不會改變生產數據的戊二酯要么是一個，要么認為自己勝任於自己的能力，或者打算什麼都不做（這是永不打破任何事情的唯一保證方法）。無論如何，您都不想與那個人一起工作。

一個潛在客戶認為，熟練的測試人員永遠不會損壞經過測試的系統，並且除非他們確切地承諾，否則他們拒絕與測試人員合作，是一位客戶，1.生活在童話獨角獸的夢幻世界中，2.幾乎可以保證只與骯髒的騙子做生意。在某些時候，他可能會幻想破滅。

對於道德而言，這是一種當務之急，對於滲透測試者在合同中加入有關可能破壞的條款。即使pentester擅長於他所做的事情，附帶損壞的風險也是真實的（因為損壞不是來自 pentester的優勢，而是來自測試系統設計的糟糕程度）並實施）。可能因為未警告客戶的 起訴而被起訴。

拒絕具有此類條款的合同的客戶有另一個名稱：“麻煩”。通常最好完全跳過此類客戶。

注意：我不是專業的pentester。而我使用的是備份軟件。

熟練且專業的pentester可以始終確保在滲透測試期間不會刪除或修改生產中的任何數據嗎？

我會說不，沒有絕對的保證，當您嘗試破壞事物時不會意外刪除某些內容。但是，話雖如此，一個pentester通常應該嘗試以不涉及刪除數據的方式來利用系統。例如，儘管每個人都喜歡的SQL語句是：

 從userid ='dave'的用戶中選擇*；刪除所有表；  

一種更負責任的方法只是列出所有數據：

 從userid ='2'或1 = 1;  

通常，我想大多數筆測試人員都會開發出一系列無損檢測工具，例如後者。

各種形式的Javascript注入可以使用簡單的概念證明代碼，例如 alert（“ exploited you”）; ，而不是真正的利用代碼。

如果Pentest團隊擁有不能創建或修改數據的局限性？

我會拒絕。在無法將XSS存儲在數據庫中的情況下，如何顯示已存儲XSS的概念證明？總是會創建新數據。

有很多示例，即使是暫時的，利用程序也需要寫入數據。

請耐心等待的公司是否總是包含免責條款，以防萬一？

我還是在這裡擴展我的個人知識，但我要說的是是的。

但是，這首先要回到聘請筆測試公司的全部要點。筆測試的目的是識別可能需要評估的風險，並在壞人發現它們之前將其修復。

我也希望任何優秀的彭特（pester）會問，並且任何好的企業都會想到，一定程度的災難恢復。當然，您應該在系統上擁有某種形式的備份，以便可以根據需要進行還原。您不僅需要通過滲透測試來破壞您的數據，而且還可以確保確實受到壞人的破壞，這時您可能需要不污染的備份回滾。

我在自己的網站上定期進行滲透測試。

我第一次運行該網站時，我將網站停頓了下來，並用垃圾郵件淹沒了他們的郵件服務器。

然後，刪除了一些表格，以消除垃圾郵件，並且可以識別並修復所有其他已知漏洞，而無需將服務器停頓下來。

坦率地說，剝削者的狡猾使我驚訝，我不得不塞進我沒有考慮過的漏洞。

但是事情是，在運行測試之前，我認為我的網站是安全的。我一直遵循最佳實踐來進行網站設計，但是仍然存在問題。

現在，借助事後的見解，我很欣賞測試可能會影響我的生產站點。

所以我要提前計劃。

我確保首先備份所有內容。

如果該站點確實非常重要，那麼我將創建一個完整的克隆，然後首先測試該克隆。

我從經驗中學到，如果創建克隆，請在其他服務器上創建它。否則，當克隆副本停止運行時，服務器仍會影響您的生產環境。

但是我仍然進行測試。您認為黑客如何訪問網站？他們大概以未經授權的方式運行這些測試。因此，在您的網站受到保護之前，它始終將很容易受到攻擊。最好是先進行測試，並採取適當的預防措施（備份等），比您最不期望的檢查結果要好得多。

所以，是的，這是可以接受的，但是也是可以預測的，應該進行相應的管理。

標題的答案是“是”，客戶需要知道這一點！

此免責聲明不是CYA的情況，而是客戶準備所需的重要信息滲透測試。我不是筆測試員，但IMO不應將其埋在精美印刷的最後一頁上，而應在合同的第一頁，正面和中間以及大膽的字體中。客戶公司需要為出錯做好準備-需要進行備份，創建恢復計劃並實施備份等。讓客戶認為筆測試沒有風險是不負責任的。按照定義，您是在嘗試觸發錯誤的行為，而無法控制該壞行為的擴展範圍或行為。

您在帖子正文中對三個問題的回答是：（1）不，您無法保證對其他代碼（2）的有限形式的筆測試可能要在沒有故意修改或創建數據的情況下進行（如果您排除該應用程序可能執行的任何日誌記錄），但結果將不完整，最後（ 3）您應該始終包含此免責聲明-為客戶帶來與您一樣多的利益。

測試人員基本上是在尋找可以利用的缺陷，並且絕不能保證他們不會發現缺陷。確實會損壞。考慮一個典型的軟件免責聲明，該聲明不旨在遇到或造成缺陷，然後考慮您可能沒有編寫要測試的代碼...

也許您可以確保僅在某些條件下才能做到。顯然，Pentest是許多因素之間的折衷，某些因素直接阻礙了系統可用性，其中之一就是分析的深度。有人可能會辯稱，未經開發的滲透測試不是滲透測試。

過去，我不得不滲透一些以脆弱性而聞名的SCADA系統，我可以向您保證，有可能進行最大程度的調整工具要足夠溫和。例如，禁用NMAP指紋和增加數據包之間的延遲很有幫助。

不過，就我個人而言，我將從不回答您的問題，以保證向我的客戶提供此條款。我會告訴他我的話，但是從商業角度來講，如果在您的筆試期間他們的應用程序本身中斷了，您將不承擔任何責任。

“熟練而專業的pentester能否始終確保在滲透測試期間不會刪除或修改生產中的任何數據？”

否。

“如果Pentest團隊存在無法創建或修​​改數據的限制，那麼真的可以進行Pentest嗎？”

不要這樣認為。 。

“為了以防萬一，最嚴格的公司應該始終包括免責聲明嗎？”協議。我不知道有沒有責任保險限制以及其他保護措施的筆測試公司...

滲透測試應遵循一種方法，即僅在非生產場景（例如分期或實驗室環境）中進行可能造成損壞的測試。

真正的問題不是刪除或修改數據，因為測試人員可以將那些測試用例留給非生產系統使用。真正的問題是留下了新數據，例如錯誤日誌或洩露機密信息的多餘錯誤文件，甚至是滲透測試程序本身的存在，包括滲透測試人員的客戶端數據材料。

另一問題滲透測試中普遍存在的是在​​演示或截屏期間顯示的其他客戶數據，工作電子郵件或瀏覽器書籤。