AWVS扫描报告分析
系列文章
扫描报告分析
生成报告
1.选则我们已经扫描好的网站,点击它
2.点击后,右上角选择生成报告
3.选择生成报告的类型
4.点击生成报告
如下我们分别选择了三种规格生成了三份不同类型的报告
5.点击HTML,生成HTML网页查看报告
报告内容如下
AWVS报告类型
Standard Reports:标准报告
Affected Items:受影响项目
Comprehensive (new):综合(新)
Developer:开发者
Executive Summary:执行摘要
Quick:快速报告
Compliance Reports:合规报告
CWE / SANS Top 25:SANS (SysAdmin, Audit, Network, Security) 研究所是美国一家信息安全培训与认证机构
DISA STIG:DISA STIG 是指提供技术指南(STIG — 安全技术实施指南)的组织(DISA — 国防信息系统局)
HIPAA:HIPAA标准
ISO 27001:国际标准
NIST SP 800-53:联邦信息系统标准
OWASP Top 10 2013:开放式Web应用程序安全项目 2013标准
OWASP Top 10 2017:开放式Web应用程序安全项目 2017标准
PCI DSS 3.2:即支付卡行业数据安全标准
Sarbanes Oxley:萨班斯法案标准
WASC Threat Classification:WASC 组织标准
最常用的报告类型:
1.Executive Summary:执行摘要 给公司大领导看,只关注整体情况,不关注具体细节
2.Comprehensive (new):综合(新):一般给QA和产品经理看
3.Developer:开发者:给开发人员看
4.OWASP Top 10 2017 行业报告的代表
5.WASC Threat Classification 行业报告的代表