利用Web扫描，保护网站安全

使用Web扫描功能，可以自动执行Web应用安全的评估操作，能够快速扫描和检测所有常见的Web应用安全漏洞，包括SQL注入、跨网站脚本攻击、存储型跨站脚本攻击、非法命令提权、暴力破解、弱密码登录、跨站请求伪造、LADP注入、非法重定向、XPATH注入、LDAP注入、非安全的DAV配置和HTTP方法、跨站跟踪、PHPINFO信息泄露等。

在管理界面左侧选择“风险发现和防护”→“Web扫描”项，在右侧的“从以下URL开始扫描”栏中输入扫描的Web服务器地址（例如“http://xxx.xxx.xxx.xxx”等），在“扫描模版”栏中点击“编辑”按钮，在编辑模版窗口中可以更改模版名称（默认为“快速”），在左侧选择“扫描选项”项，在右侧可以调整请求超时、最大重试次数、最大线程数、最长扫描时间、扫描最大文件等参数。在左侧选择“测试策略”项，在右侧的“当前使用的策略”栏中可以添加新的策略（默认包含快速和完整策略），在列表中提供了大量的Web扫描检测项目，可以根据需要进行选择。这些检测项目其实就是预设的一些攻击脚本程序，可以对目标主机进行全面测试。

选择了合适的模版后，点击“开始扫描”按钮，开始执行扫描操作，在“Web扫描”栏中显示扫描进度信息，在“网站目录结构”列表中显示具体的网站结构，在“漏洞”列表中显示探测到的所有漏洞信息，包括漏洞类型和具体的地址以及对应的严重性级别。扫描完毕后，点击“导出HTML报表”按钮，将扫描信息导出为独立的文件。打开该报告文件，在其中显示详细的扫描信息，在“漏洞类内容”中显示所有的漏洞类型和包含的页面信息，选择具体的漏洞项目，显示该漏洞的详细信息，包含漏洞描述、修复建议、漏洞的各项参数、测试结果等内容。

需要注意的是，在执行Web扫描前必须对用户进行相关的提醒，扫描可能具有一定的风险性，不能直接对正在使用的服务器进行测试，最好提供一个镜像服务器进行安全监测。如果必须对生产服务器进行扫描的话，最好对相关的数据进行备份，以便出现问题后进行安全恢复。如果目标服务器开启了相应的WAF策略的话，是无法进行扫描的。如果需要登录才可以进行扫描的话，需要提供用户名和密码，但是其无法应对包含验证码的情况。