在漏洞评估中，在不同类型的web服务器上安装相同的web应用程序值得吗？

Question

当使用Acunetix和w3af等工具进行web漏洞评估时，是否值得在多种类型的web服务器(Apache等)上安装相同的web应用程序？

如果在扫描结果中发现不同web服务器之间的差异，那么会发现哪些类型的漏洞？另外，请记住，我只是在测试web应用程序；我没有测试Apache、PHP、MySQL等等。

Answer 1

如果客户购买您的web应用程序，然后在他们自己的平台上安装它，那么这将是有益的，并且您需要使其安全，尽管底层操作系统和后端体系结构是如此。

如果应用程序已经正确地放在一起，并且在所有地方正确地对待用户输入，那么应该没有区别。但是，如果应用程序的某些部分允许MySQL漏洞工作，而MySQL漏洞将失败，或者Windows漏洞将工作，但是当托管在Linux上时，这是不可能的，那么就有好处了。当然，除非您对这些平台上的漏洞进行动态评估(使用您建议的扫描器，加上手动测试)，或者静态地(自动和手动地分析源代码)，否则您不会知道这一点。

话虽如此，大多数应用程序无论在哪个平台上安装，都会出现类似的漏洞，并且必须以独特的方式编码才能在一个平台上而不是在另一个平台上被利用。

Answer 2

如果您在服务器之间发现了一些不同的东西，那么您就会发现服务器/基础设施而不是应用程序的问题。是的，在某些情况下，特定的基础结构可以以不同的方式处理应用程序代码，但这是基础结构而不是应用程序代码本身的问题。

除非您打算在生产中的不同服务器上运行应用程序，否则这种测试不会有任何价值。