2021中文字幕入口网站,大学校园网络设计方案,厦门做企业网站,网上商城采购流程最近领导让我用公司采购的RSAS对产品进行漏洞扫描#xff0c;学习并使用了这个软件#xff0c;体验就是真的很难用。使用遇到问题时#xff0c;咨询售后服务#xff0c;机器人需要有公司认证#xff0c;不能随便问问题#xff0c;也是无语了。咨询客服#xff0c;客服回…最近领导让我用公司采购的RSAS对产品进行漏洞扫描学习并使用了这个软件体验就是真的很难用。使用遇到问题时咨询售后服务机器人需要有公司认证不能随便问问题也是无语了。咨询客服客服回答的驴唇不对马嘴感觉在对牛弹琴客服什么都不懂只会重复回答那无用的操作手册上面的配置。
新建任务
可以快速新建对应任务有的没有购买不能使用。 点进web应用扫描填写扫描目标url。
如果要根据已有任务配置可以直接选择已有任务配置选择一个任务然后进行修改。 认证配置中可以启用登录预设Cookie还可以登录预录制。 登录预录制教程基于IE配置还没成功edge没有internet选项我就问这功能是2023年应该用的吗 漏洞模板的下拉选项选择模板则扫描该模板下包含的漏洞。 高级选项里可以设置自定义header比如设置下token。 问题来了当我只在它默认给的这个header里填写的时候该header信息并未生效报告显示我没有自定义header我点击添加一个填写信息后才显示有header这不是bug吗
而且当header为token时value值限制了长度导致我的value值无法输入完整。 设置完后点击确定。开始扫描。
任务列表
任务列表见名知意显示任务的列表。扫描结束后点进该任务。 综述信息
可以看到综述信息知道这次扫描的评分。 站点列表
点进站点列表会扫描出的问题和问题的详细原因请求和响应信息。 报告下载
在站点列表或者任务列表页面可以下载该次扫描的报告html格式pdf格式。槽点来了下载的html报告只有问题标题并没有请求响应信息我就问测试把这个报告发给开发后开发知道哪里有问题吗这半拉报告有卵用 漏洞列表
显示本次扫描的漏洞。 参考标准
该页面是一些信息。 仪表盘 漏洞模板
可以每个模板下包含了哪些漏洞。 最大槽点
作为一款安全扫描工具竟然不能像burpsuite那样扫描接口而是只能扫描一些静态页面。没有办法录制请求进行扫描不支持填写get、post方法和载荷
对于一个有明显SQL注入漏洞的url连接采用专有的SQL注入模板没发现SQL注入问题显示非常安全。
对于静态页面爬取只能发现一些不痛不痒的响应头未设置的一些问题这样的漏洞扫描工具真的不敢恭维。 总结
槽点1
登录预录制教程基于IE配置还没成功edge没有internet选项我就问这功能是2023年应该用的吗
槽点2
下载的html报告只有问题标题并没有请求响应信息测试把这个报告发给开发后开发知道哪里有问题吗这半拉报告有卵用
槽点3
无法扫描接口无法填写请求方法无法填写载荷只是单纯的爬取页面简单的SQL注入问题都发现不了。
槽点4
自定义header只有1个时不生效。当header为token时value值限制了长度导致我的value值无法输入完整。
