|
appscan生成报告,看到有一些漏洞,但是我怎么能手动测试去证明有bug?
报告里的代码有些看不太懂.....
举个例子:
[1 / 1] 检测到应用程序测试脚本 严重性: 低
测试类型: 应用程序
有漏洞的 URL: http://www.**.com/
修复任务: 除去服务器中的测试脚本
1 的变体 1 [ID=1303] 以下更改已应用到原始请求:
• 已将路径设置为“/test.html”
请求/响应: GET /test.html HTTP/1.0
Cookie: ASP.NET_SessionId=y5sdwr55ih0nma55kqkmziaq
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: www.**.com
HTTP/1.1 200 OK
Content-Length: 10
Content-Type: text/html
Last-Modified: Tue, 19 Jun 2012 05:09:20 GMT
Accept-Ranges: bytes
ETag: "252d18afd94dcd1:0"
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET
Date: Mon, 16 Jul 2012 16:13:32 GMT
Connection: close
Is Staging 响应中的验证: • HTTP/1.1 200 OK
推理: AppScan 请求的文件可能不是应用程序的合法部分。响应状态为“200 OK”。这表示测试成功检索了所请求的文件的内容。
=======================================
以上只是它的推理吧,我要怎么去测试? 还是要去看源代码?
可以具体点吗?刚刚学. |
|