PHP学习_PHP技术_PHP网站建设_PHP程序员专注于PHP技术研究及学习

Adophper » 编程开发 » Appscan网站扫描,Appscan操作步骤

Appscan网站扫描,Appscan操作步骤

此文被围观83日期: 2017-07-14 分类 : 编程开发  标签:  ····
  • 新建扫描

 

输入账户与密码登录完成后点击右下角的“我已登录到站点”

 

登录完成进入下一步

 

 

点击完成后会弹出

选择“是”即可

 

然后工具就会进行扫描评估,等待扫描评估完成后进行目录排除,减少扫描的时间

 

选中要排除的目录右键选择从扫描中排除

 

 

然后开始完全扫描,扫描应该要花一些时间,扫描完成后查看报告。

 

红色既高危理应这完善,但在实际操作过程中可能有些差异,例:

有些页面是通过ajax异步加载的部分页面数据,这小部分的页面里面可能隐藏得有js相关的脚本,工具会单独使用GET方法去调用这小部分的页面,独立扫描就会出现部分未定义的错误提示,工具它认为只要弹出了alert类似的弹窗就是注入成功,所以有些页面可以从高危中排除,有同事也提出了解决方法就是在action中判断是ajax请求,如果不是就直接返回提示语,这种理论上可以解决问题。

 

一般工具扫描出来的SQL注入都可以通过转换参数来解决,比如参数转义、改变参数类型、判断参数范围来排除

 

解决问题:

当你在修复了某个问题后,可以在问题上右键重新检测。

如果通过这个问题将从高危中自动移除,可以手动测试查看到底是什么问题导致的。

 

 

最后就是导出报告了。如果导出pdf失败则可以导出html文件进行查看,html更适合元素的查找定位了。


本站使用ThinkPHP框架开发读图网主题,目前托管在阿里云,图片由读图网提供. 蜀ICP备12031064号

Copyright © 2011-2017adophper.com All Rights Reserved.