请教问题:appscan生成报告,怎么去手动测试证明有bug?
appscan生成报告,看到有一些漏洞,但是我怎么能手动测试去证明有bug?报告里的代码有些看不太懂.....
举个例子:
检测到应用程序测试脚本 严重性: 低
测试类型: 应用程序
有漏洞的 URL: http://www.**.com/
修复任务: 除去服务器中的测试脚本
1 的变体 1 以下更改已应用到原始请求:
• 已将路径设置为“/test.html”
请求/响应: GET /test.html HTTP/1.0
Cookie: ASP.NET_SessionId=y5sdwr55ih0nma55kqkmziaq
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: www.**.com
HTTP/1.1 200 OK
Content-Length: 10
Content-Type: text/html
Last-Modified: Tue, 19 Jun 2012 05:09:20 GMT
Accept-Ranges: bytes
ETag: "252d18afd94dcd1:0"
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET
Date: Mon, 16 Jul 2012 16:13:32 GMT
Connection: close
Is Staging 响应中的验证: • HTTP/1.1 200 OK
推理: AppScan 请求的文件可能不是应用程序的合法部分。响应状态为“200 OK”。这表示测试成功检索了所请求的文件的内容。
=======================================
以上只是它的推理吧,我要怎么去测试? 还是要去看源代码?
可以具体点吗?刚刚学. 选中任意一个有漏洞的URL,在请求/响应的选项卡下找到“测试”/"原始",分别对比这两个请求的URL和参数,如果看不出,那么就在此选项卡下点“在浏览器显示” 多谢!
后来其实自己也细细看,就看到了.
人就怕有依赖心理,不仔细. 看这个提示是个低级别的问题 另外那个test.html如果是正常的业务文件这个问题就不是问题了 学习中
页:
[1]
