注册就不说了,填写邀请码即可,然后会给你发邮件,验证下就OK。
界面相对来说很简洁,一眼就看明白了:
·任务管理
·域名管理
·用户管理
我在“域名管理”增加一个域名:
下一步后,给你一个字符串,然后在你的网站根目录下写一个“test.txt”,写入这个字符串,“验证”即可。这也是为了防止有歹人利用该平台作恶。这样就添加好了,在域名管理下可以看到,点“开始测试”就OK了。
选择扫描范围,包括:
·All
·Blind SQL Injection
·CGI
·Dir bruteforce
·File Check
·SQL Injection
我在这里选择的是All,“Add Task”就OK。当然添加完毕后你看到的状态可能是“排队中”,因为扫描的人多,只能等待,然后等一会就可能是“扫描中”了……这个根据网站规模需要的时间不一样,我的www.youxia.org居然扫描了整整一天,神啊……
扫描完成后,在“管理任务”看到可以生成两种形式的报告,HTML和PDF的,不过不知道为什么我PDF打不开,问zwell说这两天平台在调整,相信以后不会有这样的问题。
打开HTML报告,标题是《亿思Web应用安全报告》,正文包括如下章节:
1. Web 应用安全报告相关信息
* 扫描信息
* 漏洞概述
* 安全风险
* 补救措施
2. 漏洞列表
3. 漏洞详情
下图是一个漏洞的详情:
大家如果感兴趣,可以去申请个测试帐号,就可以测试了!
