appscan-华克斯-ibm appscan

appscan总结测试结果形成报告

一）发送测试报告

以邮件的形式发送测试报告，测试报告主要包含两份附件：导出的安全测试报告和手写的测试报告。

这两份报告的区别：

从生成的scan测试文件直接导出来的报告，会显示所有的问题，高中低都会显示，且有些问题是无法复现的。

而自己手写的测试报告，包含了开发负责人，测试负责人，以及需要修复的漏洞，对比导出的报告，做出了筛选，appscan，只列出了需要修复的漏洞，以及对应的接口地址，修复情况等等。

测试邮件则包含：

1、项目名称

2、网址

3、开发负责人

4、测试负责人

5、测试概述（即介绍安全测试的意义）

6、测试范围

7、测试工具

8、风险等级（包含的漏洞风险等级，以及问题总数）

9、风险类型（sql注入，跨站点请求等等）

10、测试日期

11、安全审计员

appscan软件特色

　　“appscan? 扫描”包含两个阶段：探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的，并且直到扫描完成几乎不需要用户输入，appscan总代理，但理解其后的原则仍然很有帮助。

　　探索阶段

　　在个阶段中，appscan 通过模拟 web 用户单击链接和填写表单字段来探索站点（web 应用程序或 web 服务）。这就是“探索”阶段。

　　appscan 将分析它所发送的每个请求的响应，查找潜在漏洞的任何指示信息。 appscan 接收到可能指示有安全漏洞的响应时，它将自动基于响应创建测试，并通知所需验证规则，同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

　　测试阶段

　　在第二个阶段，appscan---，appscan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题，ibm appscan，又可排列其安全风险级别。

　　无 web 服务的站点

　　如果是没有 web 服务的站点，那么为 appscan? 提供起始 url 和登录凭证可能---使其能够测试站点。

　　如有---，还可以通过 appscan 手动搜寻站点，以便能够访问仅通过特定用户输入才能到达的区域。

　　web 服务

　　为了能够有效扫描 web service，appscan 安装包含一项工具，用户通过它可查看 web 服务中整合的各种方法，处理输入数据以及检查来自服务的反馈。