Web/AP/DBの、どの範囲に影響を及ぼす可能性はありますか?
結論としては、Web・AP・DBいずれに対しても影響を及ぼす可能性はゼロではありません。
Securifyの「攻撃的診断ON」は「攻撃的診断OFF」に比べて、
・サイト内のより多くの要素を収集する
・スキャン項目として、インジェクション系の診断ペイロードを含む診断用リクエストをエンドポイントに対して行う
の2点が大きな差となります。
ですが、例えばサイトの構成上、「何らかのデータ操作(更新や削除等)を行うボタン」がある場合、それらを自動で巡回した際にデータに対して影響が出る可能性はございます。また、インジェクション系の診断ペイロードが発火することによって、意図せずデータ操作が行われる可能性がございます。
※Securifyとして、明示的にdeleteをするようなコマンドや診断ペイロードはございません。
例えば、OSコマンドインジェクションであれば、sleepコマンドといった内容になります。
したがって、攻撃的診断を行う際には開発環境や検証環境でおこなっていただくこと、
また予期せぬ影響に備えて、各種バックアップを取得しておくことをおすすめしております。