APPSCAN扫描分析结果-华克斯-APPSCAN

appscan安全测试的详细方法

二测试步骤

4、测试策略

在实际测试过程中，要完整的测试就选「完成」策略，一般情况下选「缺省值」策略。

简单介绍下7种测试策略：

1缺省值：包含多有测试，但不包含侵入式和端口---

2仅应用程序：包含所有应用程序级别的测试，商业化的web安全扫描工具，但不包含侵入式和端口---

3仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口---

4侵入式：包含所有侵入式测试可能影响服务器稳定性的测试

5完成：包含所有的appscan测试

6关键的少数：包含一些成功可能性较高的测试---，在时间有对站点评估可能有用

7精要：包含一些成功可能性---的应用程序测试的---，在时间有对站点评估可能有用

appscan报告分析

我们需要对报告进行对比分析或者报告汇总合并，方法如下：

增量分析：在实际工作中，经常对一个网站进行定期扫描，那么我们可以使用报告对比功能，对比两次产生的结果，检查哪些问题已经修改，appscan扫描分析结果，哪些是新发现的安全---。方法是选择报告 - 增量分析。报告汇总和合并：而如果我们在执行阶段，appscan黑盒扫描，按照业务或者目录进行了分解，蕞后可能需要对多份扫描结果进行合并和汇总，合并过程中重复的问题只记录一次，如扫描任务

a 和任务 b 都发现了 apply.jsp 的 id 参数存在 xss 安全---，则合并后只记录一次。报告的合并需要使用到 appscan

企业版，其具有 appscan 标准版的扫描功能和---的报告汇总功能，可以产生仪表盘，报告的对比分析，趋势分析等。可以把 appscan

标准版的报告发布到 appscan 企业版中，方法是菜单栏中依次选择文件 - 导出 - 将结果发布到 appscan enterprise。