绿盟远程安全评估系统 RSAS 使用体验-难用

最近领导让我用公司采购的RSAS对产品进行漏洞扫描,学习并使用了这个软件,体验就是真的很难用。使用遇到问题时,咨询售后服务,机器人需要有公司认证,不能随便问问题,也是无语了。咨询客服,客服回答的驴唇不对马嘴,感觉在对牛弹琴,客服什么都不懂,只会重复回答那无用的操作手册上面的配置。

新建任务

可以快速新建对应任务,有的没有购买不能使用。

点进web应用扫描,填写扫描目标url。

如果要根据已有任务配置,可以直接选择已有任务配置,选择一个任务,然后进行修改。 

认证配置中,可以启用登录,预设Cookie,还可以登录预录制。 

登录预录制,教程基于IE,配置还没成功,edge没有internet选项,我就问这功能是2023年应该用的吗?

漏洞模板的下拉选项,选择模板,则扫描该模板下包含的漏洞。

高级选项里,可以设置自定义header,比如设置下token。

问题来了,当我只在它默认给的这个header里填写的时候,该header信息并未生效,报告显示我没有自定义header,我点击+添加一个,填写信息后,才显示有header,这不是bug吗? 

而且,当header为token时,value值限制了长度,导致我的value值无法输入完整。

设置完后点击确定。开始扫描。

任务列表

任务列表见名知意,显示任务的列表。扫描结束后,点进该任务。

综述信息 

可以看到综述信息,知道这次扫描的评分。

站点列表 

点进站点列表,会扫描出的问题,和问题的详细原因,请求和响应信息。 

 报告下载

在站点列表或者任务列表页面,可以下载该次扫描的报告,html格式,pdf格式。槽点来了,下载的html报告,只有问题标题,并没有请求响应信息,我就问!!!!测试把这个报告发给开发后,开发知道哪里有问题吗?这半拉报告有卵用?

 漏洞列表

显示本次扫描的漏洞。

参考标准

该页面是一些信息。

仪表盘

漏洞模板

可以每个模板下包含了哪些漏洞。

最大槽点 

作为一款安全扫描工具,竟然不能像burpsuite那样扫描接口,而是只能扫描一些静态页面。没有办法录制请求进行扫描,不支持填写get、post方法和载荷!!!!!

对于一个有明显SQL注入漏洞的url连接,采用专有的SQL注入模板,没发现SQL注入问题,显示非常安全。

对于静态页面爬取,只能发现一些不痛不痒的,响应头未设置的一些问题,这样的漏洞扫描工具,真的不敢恭维。

总结

槽点1:

登录预录制,教程基于IE,配置还没成功,edge没有internet选项,我就问这功能是2023年应该用的吗?

槽点2:

下载的html报告,只有问题标题,并没有请求响应信息,测试把这个报告发给开发后,开发知道哪里有问题吗?这半拉报告有卵用?

槽点3:

无法扫描接口,无法填写请求方法,无法填写载荷,只是单纯的爬取页面,简单的SQL注入问题都发现不了。

槽点4:

自定义header只有1个时不生效。当header为token时,value值限制了长度,导致我的value值无法输入完整。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/171714.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

TCP与UDP

文章目录 TCP与UDP传输层的作用端口号UDPTCPUDP首部的格式TCP首部格式 TCP与UDP TCP/IP中有两个具有代表性的传输层协议,它们分别是TCP和UDP。TCP提供可靠的通信传输,而UDP则常被用于让广播和细节控制交给应用的通信传输。总之,根据通信的具…

条码管理在WMS仓储管理系统中的应用

在当今快节奏的商业环境中,仓储管理对于企业的运营和成本控制具有重要意义。为了提高管理效率和准确性,越来越多的企业开始采用条码管理WMS系统。本文将介绍这一系统的应用场景、条码引入WMS仓储管理系统的步骤以及其在仓储管理中的应用价值,…

Windows如何正确设置PHP环境变量以在Git Bash中运行命令

1、随便找一个目录,鼠标右键打开git bash here 2、cd的根目录 3、找到php安装目录 4、 在根目录下打开 vim .bash_profile ,添加环境变量,php地址根据自己的本地地址而定 PATH$PATH:/d/phpstudy_pro/Extensions/php/php7.3.4nts 添加后保存…

【数据结构】Lambda

⭐ 作者:小胡_不糊涂 🌱 作者主页:小胡_不糊涂的个人主页 📀 收录专栏:浅谈数据结构 💖 持续更文,关注博主少走弯路,谢谢大家支持 💖 Lambda表达式 1. 背景1.1 语法1.2 函…

二、Linux用户管理

Linux是一个多用户多任务的操作系统,任何一个要使用系统资源的用户,都必须向系统管理员申请一个账户,然后用这个账户进入系统。 每个Linux用户至少属于一个用户组。 用户家目录home下,有各个用户分别创建的家目录&#xf…

网络运维Day14

监控概述 监控的目的 报告系统运行状况每一部分必须同时监控内容包括吞吐量、反应时间、使用率等提前发现问题进行服务器性能调整前,知道调整什么找出系统的瓶颈在什么地方 监控的资源类别 公开数据 Web、FTP、SSH、数据库等应用服务TCP或UDP端口 私有数据 CPU、内…

专访|OpenTiny 社区 Mr 栋:结合兴趣,明确定位,在开源中给自己一些技术性挑战

前言 OpenTiny 开源之夏项目终于迎来了圆满的结局。借此机会,我们采访了 TinyReact 的共建者 Mr 栋同学。 Mr 栋同学是一位热衷于前端技术的开发者,对前端开发充满了激情和热爱。同时他也是一位即将毕业的大四在校生。在 OpenTiny 开源项目中&#xff0…

Power Automate-条件判断和通知操作

在模板中搜索推送通知,选择获取有关重要电子邮件的推送通知 点击创建,再去编辑 该操作的逻辑是收件箱里收到重要性为高的电子邮件时进行下一步 可以更改邮件的重要性选择,点击下拉框重新选择即可 还可以在此步骤下再创建新操作,选…

做外贸一个小失误可能会带来大的损失

在外贸里,虽然很多事情都是不可控的,但是我们还是需要做好自己该做的事情,将危险和不可控降低到最低的程度。那如何能够降低到最低呢? 比如在做合同,发票或者单据的时候,我们可能会喜欢依照公司固定的模板…

在SpringBoot中使用EhCache缓存

在使用EhCache缓存之前,我们需要了解的是EhCache缓存是啥? Ehcache的概述 Ehcache是一个开源的Java缓存框架,用于提供高效的内存缓存解决方案,他可以用于缓存各种类型的数据,包括对象,查询结果&#xff0…

小红书自动引流软件的运行分享,以及涉及到技术与核心代码分享

先来看实操成果,↑↑需要的同学可看我名字↖↖↖↖↖,或评论888无偿分享 一、引言 随着互联网的发展,引流成为许多企业和个人获取潜在客户的重要手段。然而,手动引流不仅效率低下,而且效果难以保证。为了解决这一问题…

新能源汽车三电系统上的VDA接口在操作空间有限时如何快速密封与连接

针对新能源汽车三电系统上的VDA接口的快速密封与连接,格雷希尔GripSeal快速接头有其对应的G90系列,但随着现在有些新能源汽车体型越来越小,其三电系统的体积也越来越小,相对应的它们各个接口之间的距离也就越来越近,其…