51Testing软件测试论坛

标题: 请教问题:appscan生成报告,怎么去手动测试证明有bug? [打印本页]

作者: einspei 时间: 2012-7-17 11:03
标题: 请教问题:appscan生成报告,怎么去手动测试证明有bug?
appscan生成报告,看到有一些漏洞,但是我怎么能手动测试去证明有bug?
报告里的代码有些看不太懂.....

举个例子:
[1 / 1]  检测到应用程序测试脚本严重性：低
测试类型：应用程序
有漏洞的 URL： http://www.**.com/
修复任务：除去服务器中的测试脚本
1 的变体 1  [ID=1303] 以下更改已应用到原始请求：
• 已将路径设置为“/test.html”
请求/响应： GET /test.html HTTP/1.0
Cookie: ASP.NET_SessionId=y5sdwr55ih0nma55kqkmziaq
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: www.**.com

HTTP/1.1 200 OK
Content-Length: 10
Content-Type: text/html
Last-Modified: Tue, 19 Jun 2012 05:09:20 GMT
Accept-Ranges: bytes
ETag: "252d18afd94dcd1:0"
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET
Date: Mon, 16 Jul 2012 16:13:32 GMT
Connection: close

Is Staging 响应中的验证： • HTTP/1.1 200 OK
推理： AppScan 请求的文件可能不是应用程序的合法部分。响应状态为“200 OK”。这表示测试成功检索了所请求的文件的内容。
=======================================
以上只是它的推理吧,我要怎么去测试? 还是要去看源代码?

可以具体点吗?刚刚学.

作者: crxwat 时间: 2012-7-18 11:17
选中任意一个有漏洞的URL,在请求/响应的选项卡下找到“测试”/"原始"，分别对比这两个请求的URL和参数，如果看不出，那么就在此选项卡下点“在浏览器显示”

作者: einspei 时间: 2012-7-23 11:32
多谢!
后来其实自己也细细看,就看到了.
人就怕有依赖心理,不仔细.

作者: msnshow 时间: 2012-8-4 10:59
看这个提示是个低级别的问题

作者: msnshow 时间: 2012-8-4 11:00
另外那个test.html如果是正常的业务文件这个问题就不是问题了

作者: 小脚丫的追求 时间: 2012-8-16 09:37
学习中

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)