appscan导出html报告,appscan如何导出报告(共4篇).docx

appscan如何导出报告(共4篇)

返利网网站漏洞扫描测试报告　　1、测试结果：　　2、详细信息：　　一般　　[1]文件不应用来保护或隐藏信息[2]您应该将敏感的文件和目录移到另一个隔离的子目录，以便将这个目录排除在WebRobot搜索之外。如下列示例所示，将文件移到“folder”之类的非特定目录名称是比较好的解决方案：Newdirectorystructure:/folder//folder/sensitive_folder/New:User-agent:*Disallow:/folder/　　[3]如果您无法更改目录结构，且必须将特定目录排除于WebRobot之外，在文件中，请只用局部名称。虽然这不是最好的解决方案，但至少它能加大完整目录名称的猜测难度。例如，如果要排除“sensitive_folder”和“”，请使用下列名称：:User-agent:*Disallow:/seDisallow:/pa　　本文将介绍针对扫描结果的分析，也是一次完整的渗透测试必须经历的环节。　　扫描开始的时候，AppScan会询问是否保存扫描结果，同时下方有进度条显示扫描的进度。　　在扫描过程中，如果遇到任何连接问题或者其他任何问题，可以暂停扫描并在稍后继续进行。如之前讲的扫描包括两个阶段-探索、测试。AppScan中的ScanExpert和HPWebInspect中的建议选项卡类似。ScanExpert分析扫描的配置，然后针对变化给出配置建议，目的是为了更好的执行一次扫描，可以选择忽略或者执行这些建议。　　AppScan的窗口大概分三个模块。ApplicationLinks，SecurityIssues，andAnalysis如下图所示：　　ApplicationLinksPane(应用程序结构)　　这一块主要显示网站的层次结构，基于URL和基于内容形式的文件夹和文件等都会在这里显示，在旁边的括号里显示的数字代表存在的漏洞或者安全问题。通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。Dashboard窗格会根据漏洞严重程序，高中低列出网站存在的问题情况，一次Dashboard将反映一个应用程序的整体实力。SecurityIssuesPane　　这个窗格主要显示应用程序中存在的漏洞的详细信息。针对每一个漏洞，列出了具体的参数。通过展开树形结构可以看到一个特定漏洞的具体情况，如下所示：　　根据扫描的配置，AppScan会针对各种诸如SQL注入的关键问题，以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来，　　因为扫　　描策略选择了默认，AppScan会展示出各种问题的扫描情况。右键单击某个特定的漏洞可以改变漏洞的严重等级为非脆弱，甚至可以删除。AnalysisPane(分析)　　选择SecurityIssues窗格中的一个特定漏洞或者安全问题，会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面：Issueinformation(问题信息)，Advisory(咨询)、FixRecommendation(修复建议),Request/Response(请求/相应).　　Issueinformation(安全问题信息)　　Issueinformation标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。通过这个可以让安全分析师需要做什么，以及确认它是一个有效的发现。　　Advisory(咨询)　　在此选项卡，你可以找到问题的技术说明，受影响的产品，以及参考链接。　　FixRecommendation(修复建议)　　本节中会提到解决一个特定问题所需要的步骤.　　Request/Response(请求/响应)　　此标签显示发送给应用程序测试相关反应的具体请求的细节.在一个单一的测试过程中，根据安全问题的严重性会不止发送一个请求.例如，检查SQL盲注漏洞，首先AppScan中发送一个正常的请求，并记录响应。然后发送一个SQL注入参数，然后再记录响应.同时发送另外一个请求，来判断条件,根据回显的不同，判断是否存在脆弱性漏洞。在此选项卡，有以下一些标签.如图：　　ShowinBrowser(在浏览器显示),让你在浏览器看到相关请求的反应,　　比如在浏览器查看跨　　站脚本漏洞.实际上会出现警从Appscan发出的弹窗信息.　　ReportFalsePositive(报告误报)，如果发现误报，可以通过此标签发送给Appscan团队.　　ManualTest(手动测试),单击此项之后会打开一个新的窗口，允许您修改请求并发送来观察响应.这个功能类似BurpSuite中的"repeate"选项.　　DeleteVariant(变量删除)，从结果中删除选中的