张百川:WEB应用安全评估平台iiScan测试

  刚要的iiScan邀请码,速度测试……网址是:http://www.iiscan.com/
  注册就不说了,填写邀请码即可,然后会给你发邮件,验证下就OK。
  界面相对来说很简洁,一眼就看明白了:
  ・任务管理
  ・域名管理
  ・用户管理
  我在“域名管理”增加一个域名:
张百川:WEB应用安全评估平台iiScan测试_第1张图片
  下一步后,给你一个字符串,然后在你的网站根目录下写一个“test.txt”,写入这个字符串,“验证”即可。这也是为了防止有歹人利用该平台作恶。这样就添加好了,在域名管理下可以看到,点“开始测试”就OK了。

  选择扫描范围,包括:
  ・All
  ・Blind SQL Injection
  ・CGI
  ・Dir bruteforce
  ・File Check
  ・SQL Injection
  我在这里选择的是 All,“Add Task”就OK。当然添加完毕后你看到的状态可能是“排队中”,因为扫描的人多,只能等待,然后等一会就可能是“扫描中”了……这个根据网站规模需要的时间不一样,我的www.youxia.org居然扫描了整整一天,神啊……
  扫描完成后,在“管理任务”看到可以生成两种形式的报告,HTML和PDF的,不过不知道为什么我PDF打不开,问zwell说这两天平台在调整,相信以后不会有这样的问题。
  打开HTML报告,标题是《亿思Web应用安全报告》,正文包括如下章节:
  1. Web 应用安全报告相关信息
    * 扫描信息
     * 漏洞概述
    * 安全风险
    * 补救措施
  2. 漏洞列表
  3. 漏洞详情
  下图是一个漏洞的详情:

  大家如果感兴趣,可以去申请个测试帐号,就可以测试了!

你可能感兴趣的:(Web,平台,评估,张百川,iiscan)