Appscan网站扫描,Appscan操作步骤

输入账户与密码登录完成后点击右下角的“我已登录到站点”

登录完成进入下一步

点击完成后会弹出

选择“是”即可

然后工具就会进行扫描评估，等待扫描评估完成后进行目录排除，减少扫描的时间

选中要排除的目录右键选择“从扫描中排除”

然后开始完全扫描，扫描应该要花一些时间，扫描完成后查看报告。

红色既高危理应这完善，但在实际操作过程中可能有些差异，例：

有些页面是通过ajax异步加载的部分页面数据，这小部分的页面里面可能隐藏得有js相关的脚本，工具会单独使用GET方法去调用这小部分的页面，独立扫描就会出现部分未定义的错误提示，工具它认为只要弹出了alert类似的弹窗就是注入成功，所以有些页面可以从高危中排除网站安全扫描，有同事也提出了解决方法就是在action中判断是ajax请求，如果不是就直接返回提示语，这种理论上可以解决问题。

一般工具扫描出来的SQL注入都可以通过转换参数来解决，比如参数转义、改变参数类型、判断参数范围来排除

解决问题：

当你在修复了某个问题后，可以在问题上右键重新检测。

如果通过这个问题将从高危中自动移除，可以手动测试查看到底是什么问题导致的。

最后就是导出报告了。如果导出pdf失败则可以导出html文件进行查看，html更适合元素的查找定位了。

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!