返回
appscan,如何生成报告

appscan,如何生成报告

ID:29734378

大小:21.49 KB

页数:11页

时间:2018-12-22

appscan,如何生成报告_第1页
appscan,如何生成报告_第2页
appscan,如何生成报告_第3页
appscan,如何生成报告_第4页
appscan,如何生成报告_第5页
资源描述:

《appscan,如何生成报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划appscan,如何生成报告  本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节。  扫描开始的时候,AppScan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度。  在扫描过程中,如果遇到任何连接问题或者其他任何问题,可以暂停扫描并在稍后继续进行。如之前讲的扫描包括两个阶段-探索、测试。AppScan中的ScanExpert和HPWebInspect中的建议选项卡类似。ScanExpert分析扫描的配

2、置,然后针对变化给出配置建议,目的是为了更好的执行一次扫描,可以选择忽略或者执行这些建议。  AppScan的窗口大概分三个模块。ApplicationLinks,SecurityIssues,andAnalysis如下图所示:  ApplicationLinksPane(应用程序结构)  这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题。通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。Dashboard窗格会根据漏洞严重程序,高中低列出网站存

3、在的问题情况,一次Dashboard将反映一个应用程序的整体实力。SecurityIssuesPane目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  这个窗格主要显示应用程序中存在的漏洞的详细信息。针对每一个漏洞,列出了具体的参数。通过展开树形结构可以看到一个特定漏洞的具体情况,如下所示:  根据扫描的配置,AppScan会针对各种诸如SQL注入的

4、关键问题,以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来,  因为扫  描策略选择了默认,AppScan会展示出各种问题的扫描情况。右键单击某个特定的(转载于:写论文网:appscan,如何生成报告)漏洞可以改变漏洞的严重等级为非脆弱,甚至可以删除。AnalysisPane(分析)  选择SecurityIssues窗格中的一个特定漏洞或者安全问题,会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issueinformation(问题信息),Advisory(咨询)、FixRecommendation(修复建议),

5、Request/Response(请求/相应).  Issueinformation(安全问题信息)  Issueinformation标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。通过这个可以让安全分析师需要做什么,以及确认它是一个有效的发现。  Advisory(咨询)目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  在

6、此选项卡,你可以找到问题的技术说明,受影响的产品,以及参考链接。  FixRecommendation(修复建议)  本节中会提到解决一个特定问题所需要的步骤.  Request/Response(请求/响应)  此标签显示发送给应用程序测试相关反应的具体请求的细节.在一个单一的测试过程中,根据安全问题的严重性会不止发送一个请求.例如,检查SQL盲注漏洞,首先AppScan中发送一个正常的请求,并记录响应。然后发送一个SQL注入参数,然后再记录响应.同时发送另外一个请求,来判断条件,根据回显的不同,判断是否存在脆弱性漏洞。在此选项卡,有以

7、下一些标签.如图:  ShowinBrowser(在浏览器显示),让你在浏览器看到相关请求的反应,  比如在浏览器查看跨  站脚本漏洞.实际上会出现警从Appscan发出的弹窗信息.  ReportFalsePositive(报告误报),如果发现误报,可以通过此标签发送给Appscan团队.  ManualTest(手动测试),单击此项之后会打开一个新的窗口,允许您修改请求并发送来观察响应.这个功能类似BurpSuite中的"repeate"选项.  DeleteVariant(变量删除),从结果中删除选中的变量.目的-通过该培训员工可对

8、保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。