使用Web掃描功能，可以自動(dòng)執(zhí)行Web應(yīng)用安全的評(píng)估操作，能夠快速掃描和檢測(cè)所有常見(jiàn)的Web應(yīng)用安全漏洞，包括SQL注入、跨網(wǎng)站腳本攻擊、存儲(chǔ)型跨站腳本攻擊、非法命令提權(quán)、暴力破解、弱密碼登錄、跨站請(qǐng)求偽造、LADP注入、非法重定向、XPATH注入、LDAP注入、非安全的DAV配置和HTTP方法、跨站跟蹤、PHPINFO信息泄露等。

在管理界面左側(cè)選擇“風(fēng)險(xiǎn)發(fā)現(xiàn)和防護(hù)”→“Web掃描”項(xiàng)，在右側(cè)的“從以下URL開(kāi)始掃描”欄中輸入掃描的Web服務(wù)器地址（例如“http://xxx.xxx.xxx.xxx”等），在“掃描模版”欄中點(diǎn)擊“編輯”按鈕，在編輯模版窗口中可以更改模版名稱(chēng)（默認(rèn)為“快速”），在左側(cè)選擇“掃描選項(xiàng)”項(xiàng)，在右側(cè)可以調(diào)整請(qǐng)求超時(shí)、最大重試次數(shù)、最大線程數(shù)、最長(zhǎng)掃描時(shí)間、掃描最大文件等參數(shù)。在左側(cè)選擇“測(cè)試策略”項(xiàng)，在右側(cè)的“當(dāng)前使用的策略”欄中可以添加新的策略（默認(rèn)包含快速和完整策略），在列表中提供了大量的Web掃描檢測(cè)項(xiàng)目，可以根據(jù)需要進(jìn)行選擇。這些檢測(cè)項(xiàng)目其實(shí)就是預(yù)設(shè)的一些攻擊腳本程序，可以對(duì)目標(biāo)主機(jī)進(jìn)行全面測(cè)試。

選擇了合適的模版后，點(diǎn)擊“開(kāi)始掃描”按鈕，開(kāi)始執(zhí)行掃描操作，在“Web掃描”欄中顯示掃描進(jìn)度信息，在“網(wǎng)站目錄結(jié)構(gòu)”列表中顯示具體的網(wǎng)站結(jié)構(gòu)，在“漏洞”列表中顯示探測(cè)到的所有漏洞信息，包括漏洞類(lèi)型和具體的地址以及對(duì)應(yīng)的嚴(yán)重性級(jí)別。掃描完畢后，點(diǎn)擊“導(dǎo)出HTML報(bào)表”按鈕，將掃描信息導(dǎo)出為獨(dú)立的文件。打開(kāi)該報(bào)告文件，在其中顯示詳細(xì)的掃描信息，在“漏洞類(lèi)內(nèi)容”中顯示所有的漏洞類(lèi)型和包含的頁(yè)面信息，選擇具體的漏洞項(xiàng)目，顯示該漏洞的詳細(xì)信息，包含漏洞描述、修復(fù)建議、漏洞的各項(xiàng)參數(shù)、測(cè)試結(jié)果等內(nèi)容。

需要注意的是，在執(zhí)行Web掃描前必須對(duì)用戶(hù)進(jìn)行相關(guān)的提醒，掃描可能具有一定的風(fēng)險(xiǎn)性，不能直接對(duì)正在使用的服務(wù)器進(jìn)行測(cè)試，最好提供一個(gè)鏡像服務(wù)器進(jìn)行安全監(jiān)測(cè)。如果必須對(duì)生產(chǎn)服務(wù)器進(jìn)行掃描的話，最好對(duì)相關(guān)的數(shù)據(jù)進(jìn)行備份，以便出現(xiàn)問(wèn)題后進(jìn)行安全恢復(fù)。如果目標(biāo)服務(wù)器開(kāi)啟了相應(yīng)的WAF策略的話，是無(wú)法進(jìn)行掃描的。如果需要登錄才可以進(jìn)行掃描的話，需要提供用戶(hù)名和密碼，但是其無(wú)法應(yīng)對(duì)包含驗(yàn)證碼的情況。