使用Web掃描功能，可以自動執(zhí)行Web應(yīng)用安全的評估操作，能夠快速掃描和檢測所有常見的Web應(yīng)用安全漏洞，包括SQL注入、跨網(wǎng)站腳本攻擊、存儲型跨站腳本攻擊、非法命令提權(quán)、暴力破解、弱密碼登錄、跨站請求偽造、LADP注入、非法重定向、XPATH注入、LDAP注入、非安全的DAV配置和HTTP方法、跨站跟蹤、PHPINFO信息泄露等。

在管理界面左側(cè)選擇“風(fēng)險發(fā)現(xiàn)和防護”→“Web掃描”項，在右側(cè)的“從以下URL開始掃描”欄中輸入掃描的Web服務(wù)器地址（例如“http://xxx.xxx.xxx.xxx”等），在“掃描模版”欄中點擊“編輯”按鈕，在編輯模版窗口中可以更改模版名稱（默認(rèn)為“快速”），在左側(cè)選擇“掃描選項”項，在右側(cè)可以調(diào)整請求超時、最大重試次數(shù)、最大線程數(shù)、最長掃描時間、掃描最大文件等參數(shù)。在左側(cè)選擇“測試策略”項，在右側(cè)的“當(dāng)前使用的策略”欄中可以添加新的策略（默認(rèn)包含快速和完整策略），在列表中提供了大量的Web掃描檢測項目，可以根據(jù)需要進行選擇。這些檢測項目其實就是預(yù)設(shè)的一些攻擊腳本程序，可以對目標(biāo)主機進行全面測試。

選擇了合適的模版后，點擊“開始掃描”按鈕，開始執(zhí)行掃描操作，在“Web掃描”欄中顯示掃描進度信息，在“網(wǎng)站目錄結(jié)構(gòu)”列表中顯示具體的網(wǎng)站結(jié)構(gòu)，在“漏洞”列表中顯示探測到的所有漏洞信息，包括漏洞類型和具體的地址以及對應(yīng)的嚴(yán)重性級別。掃描完畢后，點擊“導(dǎo)出HTML報表”按鈕，將掃描信息導(dǎo)出為獨立的文件。打開該報告文件，在其中顯示詳細的掃描信息，在“漏洞類內(nèi)容”中顯示所有的漏洞類型和包含的頁面信息，選擇具體的漏洞項目，顯示該漏洞的詳細信息，包含漏洞描述、修復(fù)建議、漏洞的各項參數(shù)、測試結(jié)果等內(nèi)容。

需要注意的是，在執(zhí)行Web掃描前必須對用戶進行相關(guān)的提醒，掃描可能具有一定的風(fēng)險性，不能直接對正在使用的服務(wù)器進行測試，最好提供一個鏡像服務(wù)器進行安全監(jiān)測。如果必須對生產(chǎn)服務(wù)器進行掃描的話，最好對相關(guān)的數(shù)據(jù)進行備份，以便出現(xiàn)問題后進行安全恢復(fù)。如果目標(biāo)服務(wù)器開啟了相應(yīng)的WAF策略的話，是無法進行掃描的。如果需要登錄才可以進行掃描的話，需要提供用戶名和密碼，但是其無法應(yīng)對包含驗證碼的情況。