WEB安全评估系统用户手册范本
安全性评价管理系统用户使用手册
W O R D文档,可下载修改第一篇安装手册第一章系统的安装及启动系统的安装将安装盘放入光驱后,打开安装盘双击,开始安装程序,点击“下一步”,填写“用户名”和“公司名称”,选择应用人后,点击“下一步”,选择“典型”,点击“下一步”,点击“下一步”,点击“完成”,系统的安装就完成了。
系统的启动安装完成后,在开始——程序——三策科技——启动tomcat服务;启动服务后,会出现一个窗口,在使用系统的情况下,不要关闭窗口;打开IE浏览器,在地址栏中输入“”。
第二章系统数据的备份数据库客户端的安装将光盘放入驱动,打开光盘,双击“”文件,出现安装窗口,点击“下一步”,选择“我同意”,点击“下一步”,在“浏览”中,选择安装的路径,点击“下一步”,点击“下一步”,点击“下一步”,开始安装,点击“安装”,点击“完成”,数据库的客户端安装成功。
将光盘中的“”拷贝到安装的客户端的文件夹下,双击打开,点击“应用补丁”,执行完毕后,点击“退出”。
数据的备份数据库客户端安装成功后,点击桌面上的“Navicat for MySQL”的桌面标志,双击打开,出现管理窗口,点击连接,在窗口中输入“连接名”后,点击“确定”,在窗口中左侧点击“计画任务”后,在右侧点击“创建批次处理任务”,点击窗口中右侧的“可用任务”的任务名称,点击下侧的“选取”,然后点击窗口中的“保存”,在输入框内输入文件名称,点击“确定”,点击“计画任务”中的“设置计画任务”,新建计划后,点击“确定”,这时系统数据就会按照设置的时间进行定期备份。
当系统中的任务出现问题,需要还原数据时,点击备份中的“恢复备份”,点击“开始”,出现提示框,点击“确定”,则就将现在的数据替换为备份的数据了。
第二篇系统维护第一章管理员功能介绍基础数据维护在“安评标准维护”中,主要实现对标准的查看,添加,修改和删除功能;1、鼠标在做侧,选中标准后,点击“查看该标准”,可查看该标准的详细内容;2、点击“修改标准内容”,弹出对标准的修改页面;修改完成后点击“修改标准内容”,弹出“修改成功”的提示框;3、点击“删除该标准”,则将标准删除;4、点击“添加子标准”,则在该标准下添加自己的子标准,弹出添加页面;将内容输入成功后,店家“添加标准”,出现“添加成功”的提示框后则证明添加成功;(本公司建议使用者不要轻易修改、添加和删除标准内容,因为本标准的根据国网公司的统一标准输入的,如需改动,本公司会及时更新数据库)在“检查表维护”中,主要实现对检查表的查看,添加,修改和删除功能1、在标准列表中输入评价项目、评价标准和评价结果,点击“添加”,实现对标准的添加功能;2、鼠标选中左侧的标准,在右侧修改完成后,点击“修改”,弹出“修改成功”的提示框则修改成功;3、鼠标选中左侧的标准,点击有侧的“删除”,则实现对该标准的删除功能;在“组织结构维护”中,主要实现对本单位组织结构的添加、修改和删除功能;1、鼠标选择左侧的单位菜单,选择完成后,点击右侧的“添加部门”,弹出添加页面;输入单位名称和备注后,点击“提交”;2、鼠标选中左侧的单位菜单,点击右侧的“修改部门”,弹出修改页面;修改完成后点击“提交”,实现对单位名称的修改功能;3、鼠标选中左侧的单位菜单,点击右侧的“删除部门”,实现单位的删除功能,在删除过程中,当本单位下有下属单位时,是不可以删除的;“任务数据清理”主要实现对无用的任务的删除功能;点击需要删除的任务后面的“删除”,实现删除功能;权限管理在“角色管理”中,可以添加、修改、删除角色,也可以对角色分配用户和权限;1、点击“增加”,弹出增加角色的页面;在页面中输入角色名和备注,点击“保存”,则新的角色添加成功;2、点击“分配用户”,弹出分配页面,鼠标点击用户前的复选框,点击“保存”,则分配用户完成;3、“分配权限”,弹出页面,此页面也就是分配功能的页面;鼠标点击所需要的功能前的复选框,点击“保存”,则为角色的权限分配就完成了;4、鼠标选中角色前的复选框,点击“修改”,则实现对角色名称的修改功能;修改完成后,点击“保存”;5、鼠标选中角色前的复选框,点击“删除”,则实现选择角色的删除功能;在“用户管理”中,主要实现对用户的添加、修改、删除和对用户角色的编辑功能;1、点击“增加”,弹出添加用户的页面,在页面中输入用户名、帐号、密码、所属单位和所属专业组后,点击“保存”;2、添加完用户后,点击“编辑所属角色”,弹出角色的编辑页面,在页面中选择角色前的复选框,点击“保存”,则编辑的次用户就拥有了选订角色的权限;3、点击用户名称前的复选框,点击“修改”则弹出用户信息的修改页面,在页面中修改完用户信息后,惦记“保存”,则修改完成;4、点击用户名称前的复选框,点击“删除”,删除选择的用户;第三篇安全性评价软件第一章一级用户功能介绍输入一级用户的“用户名”和“密码”,进到功能页面:任务管理点击“任务管理”,出现任务管理的导航菜单:点击“任务列表”,在输入框内输入任务名称,点击“保存”,任务添加到“任务分配列表”中,在“任务分配列表”中,有修改任务名称、分配任务、追加任务、查看的功能;点击“修改任务名称”,在输入框内输入修改后的任务名称,点击保存,则将原任务名称修改为输入的任务名称;点击“分配任务”,进入任务分配界面用户通过选择左边县供电企业安评标准前的复选框后再选择右边列出单位名称前边的复选框,通过这样的操作来实现要将哪些标准分配给哪些单位最后进行提交,则任务成功分配到下属单位。
web用户操作手册
web用户操作手册
Web用户操作手册是一种文档,旨在为用户提供关于如何使用特定网站或
应用程序的详细指南。
以下是编写Web用户操作手册的一些基本步骤:
1. 确定目标用户:在开始编写手册之前,要明确目标用户是谁,以便根据他们的需求和水平编写易于理解的手册。
2. 确定手册内容:根据网站或应用程序的功能和特点,确定手册的内容,包括但不限于:页面布局、导航、功能介绍、常见问题解答等。
3. 设计手册结构:设计手册的结构,以便于用户理解和使用。
可以包括章节、段落、标题、列表等,使手册易于阅读和浏览。
4. 使用简洁明了的语言:使用简洁、明了的语言描述操作步骤和功能特点,避免使用过于专业的术语或行业内部的缩略语。
5. 提供示例和截图:为了帮助用户更好地理解,可以在手册中提供示例和截图,展示网站或应用程序的实际界面和操作步骤。
6. 更新和维护:随着网站或应用程序的更新和维护,用户操作手册也需要相应地进行更新和维护。
确保手册内容与实际使用情况保持一致。
7. 发布和分发:将手册发布到易于访问的地方,如网站上、应用程序内部等。
同时,也可以将手册分发给用户,以便他们随时查阅。
总之,Web用户操作手册是一种重要的文档,可以帮助用户更好地理解和使用网站或应用程序。
编写好的手册可以提高用户体验和满意度。
web应用安全评估系统
web应用安全评估系统
Web应用安全评估系统是一种用于评估和检测Web应用程序的安全性的系统。
它通过自动化工具、扫描器和手动测试等方式,发现Web应用程序中可能存在的漏洞和安全风险,并提供相应的修复建议和安全措施。
Web应用安全评估系统通常包括以下功能和模块:
1. 漏洞扫描:系统使用各种自动化工具和扫描器对Web应用程序进行全面扫描,以发现常见的安全漏洞,如跨站脚本(XSS)、SQL注入、文件包含等。
2. 手动测试:系统还提供手动测试功能,让安全专业人士可以模拟攻击者的行为,深入评估Web应用程序的安全性。
手动测试可以发现一些常规的扫描器难以探测到的漏洞。
3. 报告生成:系统生成详细的评估报告,包括发现的漏洞、风险级别、修复建议等。
报告通常包含图形化的漏洞概况、趋势以及统计数据,以便用户更好地了解Web应用的安全状况。
4. 漏洞管理:系统提供漏洞追踪和管理功能,帮助用户跟踪漏洞修复的进度,确保漏洞得到及时处理和修复。
5. 安全建议和指导:系统提供相应的安全建议和指导,帮助用户采取合适的安全措施和修复漏洞。
Web应用安全评估系统的目的是帮助组织识别和解决Web应
用程序中的安全问题,降低被攻击的风险,并提高Web应用程序的安全性。
同时,它也可以用于符合合规要求,如PCI DSS、ISO 27001等。
网站安全手册
杭州安恒信息技术有限公司1 明御网站卫士(WebProtector)用户手册版权申明本文档包含了来自杭州安恒信息技术有限公司机密的技术和商业信息,提供给杭州安恒信息技术有限公司的客户或合作伙伴使用。
接受本文档表示同意对其内容保密并且未经杭州安恒信息技术有限公司书面认可,不得复制、泄露或散布本文档的全部或部分内容。
本文档及其描述的产品受有关法律的版权保护,对本文档内容的任何形式的非法复制,泄露或散布,将导致相应的法律责任。
杭州安恒信息技术有限公司保留在不另行通知的情况下修改本文档的权利,并保留对本文档内容的解释权。
杭州安恒信息技术有限公司2目录1 简介 (5)2 安装配置 (6)2.1安装步骤 (6)2.2获取序列号 (8)2.3F ILE W ALL防篡改配置 (9)2.3.1设置向导 (9)2.3.2 配置目录/文件权限 (11)2.4配置W EB服务 (14)2.4.1IIS5.0配置 (14)2.4.2 IIS6.0配置 (19)3 FILEWALL文件防篡改 (25)3.1文件/目录权限控制 (25)3.1.1 设置文件策略 (25)3.1.2 设置目录策略 (29)3.1.3 删除策略 (29)3.1.4 编缉策略 (30)3.2安全控制 (30)3.2.1文件类型的配置 (30)3.2.2配置信任进程 (31)3.4日志/事务 (33)3.4.1 备份 (33)3.4.2 恢复 (35)4 WEBWALL网站防攻击 (36)4.1W EB W ALL配置 (36)4.2W EB W ALL使用 (40)杭州安恒信息技术有限公司35用户管理 (42)6系统设置 (46)6.1常规设置 (46)6.2报警设置 (47)6.3安全设置 (48)6.4邮箱设置 (48)7.卸载程序 (49)杭州安恒信息技术有限公司41 简介明御TM 网站卫士(简称:WebProtector)是安恒结合多年应用安全的攻防理论和应急响应实际经验积累基础上自主研发完成,是国内首创三维一体的网站防护产品,可以同时向网站提供:防篡改、防攻击双保护。
webcare用户手册
WEBCARE365网站群警戒服务平台顾客手册版本:V1.0六月上海络安信息技术有限公司目录第一章总体阐明 (3)第二章系统使用 (3)2.1登录 (3)2.2首页 (3)2.2.1 总体概览 (4)2.2.2 页面更新 (4)2.2.3 敏感词检测 (5)2.2.4 核心词检测 (5)2.2.5 失效链接 (6)2.3实时告警 (7)2.3.1 实时警报 (7)2.3.2 告知 (7)2.3.3 告警历史查询 (7)2.3.4 网站实时状态查询 (7)2.4站点管理 (8)2.4.1 新增 (8)2.4.2 修改 (8)2.4.3 删除 (9)2.4.4 设立告警 (9)2.4.5 启用监控 (10)2.4.6 禁用监控 (10)2.4.7 启用告警 (10)2.4.8 禁用告警 (10)2.4.9 重建基线 (10)2.4.10 查询 (10)2.5客户管理 (11)2.5.1 新增客户 (11)2.5.2 修改 (11)2.5.3 删除 (12)2.5.4 查看 (12)2.5.5 查询 (12)2.6记录分析 (13)2.7系统管理 (13)2.7.1 重置密码 (13)2.7.2 顾客组管理 (14)2.7.3 顾客管理 (16)2.7.4 权限管理 (19)2.8节点管理 (21)2.8.1 新增 (21)2.8.2 编辑 (22)2.8.3 删除 (22)2.8.4 查询 (22)第一章总体阐明《webcare365网站群警戒服务平台》旳重要作用是网站故障、漏洞早发现、早解决,保证网站、网络和服务旳持续、可靠、安全旳运营,减少发生故障旳也许性,提高网站运营管理水平和服务保障能力。
第二章系统使用重要是协助顾客查看目前监控网站旳状态。
2.1登录本模块旳功能:系统使用旳身份验证2.2首页通过图表旳形式直观旳显示,域名解析时间、网站下载速度、首页打开时间、响应时间、监控状态记录、页面更新、敏感词检测、核心词检测、失效链接、外部链接、域名劫持、端口扫描、高危漏洞,见下图:2.2.1 总体概览总体概览:通过图表旳形式,实时显示:“今日域名解析时间记录”、“今日响应时间记录”、“今日网站下载速度”、“今日首页打开时间记录”、“监控状态记录”,见下图。
网络安全检查系统用户手册
网络安全检查系统用户手册简介网络安全检查系统是一款帮助用户保护网络安全的工具。
本用户手册将指导您如何使用该系统,并提供相关操作说明。
系统要求- 操作系统:Windows 7或更高版本- 内存:至少4GB- 存储空间:至少100MB可用空间- 网络连接:稳定且高速的互联网连接安装2. 双击运行安装程序3. 按照安装向导提示进行安装4. 在安装完成后,系统将提供桌面快捷方式以便您快速访问该系统登录1. 打开安装成功的系统2. 在登录界面输入您的用户名和密码3. 点击“登录”按钮功能概览该系统提供以下主要功能:- 网络安全扫描:定期对您的网络进行扫描,检测潜在的安全隐患并提供解决方案。
- 防火墙配置:帮助您设置和管理防火墙以保护您的网络免受未经授权的访问。
- 恶意软件扫描:扫描您的计算机以查找和删除可能存在的恶意软件。
- 密码管理:帮助您创建和管理强密码,以增加账户和系统的安全性。
- 安全漏洞修复:自动检测和修复操作系统和应用程序中的安全漏洞。
使用指南1. 网络安全扫描- 在系统主界面点击“网络安全扫描”选项- 点击“开始扫描”按钮,系统将自动扫描您的网络并生成检测报告- 阅读报告并按照建议的步骤进行必要的修复和优化2. 防火墙配置- 在系统主界面点击“防火墙配置”选项- 根据您的需求设置防火墙规则,包括允许和禁止特定端口和IP地址的访问等3. 恶意软件扫描- 在系统主界面点击“恶意软件扫描”选项- 点击“开始扫描”按钮,系统将对您的计算机进行全面扫描以查找潜在的恶意软件- 根据扫描结果,选择删除或隔离受感染的文件4. 密码管理- 在系统主界面点击“密码管理”选项- 点击“创建密码”按钮,输入相关信息并生成强密码- 点击“保存”按钮以保存密码,并将其用于相关账户5. 安全漏洞修复- 在系统主界面点击“安全漏洞修复”选项- 系统将自动检测并列出您操作系统和应用程序中的已知安全漏洞- 根据建议,点击“修复”按钮以修复漏洞常见问题解答以下是一些常见问题及其解答:Q: 如何联系技术支持?A: 您可以通过以下方式联系我们的技术支持团队: [联系方式]Q: 是否需要定期更新系统?A: 是的,我们建议您定期更新系统以获取最新的安全补丁和功能改进。
Web应用系统安全评估表
2008-4
目录
1.应用系统可用性1
2.鉴别1
3.访问控制1
4.会话管理1
5.配置与管理1
6.错误处理2
7.敏感信息保护2
8.输入输出合法性检查2
评估内容
结果(是/否)
说明
1.应用系统可用性
1.1.响应能力
Web应用系统处理能力是否满足大量并发用户的合法请求?
1.2.应用层溢出
客户端与服务端的敏感信息(如:口令等)是否加密存储?
7.3.敏感信息传输
客户端与服务端之间的敏感信息(如:口令等)传输是否加密?
7.4.数据库连接字串
服务端程序中是否包括明文的数据库连接字串?
8.输入输出合法性检查
8.1.上传文件检查
系统是否检查上传文件的格式及内容?
8.2.服务端检查
系统是否在服务端检查所有输入的合法性?
8.3.跨站脚本
是否存在跨站攻击?
8.4.SQL注入
是否存在SQL注入?
Web应用系统是否存在缓冲区溢出?
1.3.用户帐户锁定
用户帐户是否能被恶意锁定?
2.鉴别
2.1.鉴别旁路
鉴别功能能否被旁路?
2.2.默认帐号与口令
系统是否存在默认帐号与口令?
2.3.用户名质量
系统是否存在易猜测的用户名?
2.4.口令质量
系统是否存在空口令、易猜测的口令或弱口令?
2.5.口令恢复或重置
系统是否存在需要进行访问控制但却没有实现访问控制的页面或功能?
3.4.变换功能操作次序
能否通过变换功能操作次序绕过某些必须的操作步骤?
4.会话管理
4.1.会话令牌的质量
会话令牌是否具有足够的安全性且不含有敏感字段?
OWASPWEB应用程序安全评估方案
OWASP中国
Questions and Answers
OWASP中国
是否在登录失败的提示信息中包含可利用信息
是否在用户存储中存储密码 会话管理 是否对验证cookies及session有保护措施 OWASP中国
WEB应用程序 访问控制
访问控制是授权确定已通过验证的标识可以执行哪些操作以及可以访问哪些资源。错误授权或弱授 权会导致信息泄漏和数据篡改。深入防御是应用程序授权策略的关键安全原则 访问控制的主要威胁包括非授权访问保密数据或受限数据、篡改数据以及执行未经授权的操作 主要的安全措施包括: 权限管理 是否对访问主体和客体设定了有效的权限控制粒度 是否对访问主体执行了权限最小原则 是否修改了第三方应用程序的默认账户的访问权限 标记管理
The Open Web Application Security Project WEB应用程序安全评估 091127 内部讨论版
OWASP中国
郝轶 haoyi@ QQ群:95674528 2009年12月
The OWASP Foundation
是否对重要信息资源设置敏感标记
后台访问 是否对登录应用系统管理后台进行登录源限制 是否应对后台地址进行增强复杂度处理 OWASP中国
WEB应用程序 安全审计
安全审计是发现入侵迹象、不能验证用户操作,以及在诊断问题的有效手段 安全审计的主要威胁包括审计进程被中断、审计记录被篡改 主要的安全措施包括: 审计范围 是否提供覆盖到每个用户的安全审计功能,记录应用系统的重要安全相关事件,包括重 要用户行为、系统资源的异常使用和重要系统功能的执行等 审计内容 是否审计记录的内容包括事件日期、时间、发起者信息、类型、描述和结果 审计保护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WEB安全评估管理系统(WESM)用户手册1 WSEM概述1.1 WSEM简介WEB安全评估管理系统(WSEM)在java tomcat应用服务器中运行。
其中,安全评估模块、项目管理模块、用户管理模块、知识库管理模块和项目风险统计模块是本系统的主要功能模块,SSCA源代码评估工具和SSVS安全测试工具是与本系统交互的安全工具组件。
SSCA软件安全分析器和SSVS安全测试工具将代码扫描文件和安全测试文件以xml的方式传递给安全评估模块,安全评估模块将上传的结果信息整理入库,项目风险统计模块根据入库信息提供统计报表。
知识库管理模块对代码扫描和安全测试的规则进行编辑,编辑好的规则通过组件接口下发给SSCA软件安全分析器和SSVS安全测试工具,安全工具根据下发规则对源代码和系统进行扫描。
1.2 运行环境运行WSEM所需要的硬件及软件环境如下:●CPU Pentium 2.4GHz及以上●存512MB及以上●硬盘40GB及以上●网卡100Mbps 及以上●操作系统Windows 2000/XP/2003,Vista等2 安装与卸载2.1 安装双击安装程序wsem setup.exe,进行WSEM的安装,如下图所示点击“下一步”,显示用户许可协议,用户需选择“我同意该许可协议的条款”能继续安装。
如图:点击“下一步”,要求输入用户名和公司名,如图:点击“下一步”,要求选择安装路径,默认安装在C:\Program files\WSEM,用户可根据需要修改该路径。
如图:注意:请确保路径中没有其它特殊字符。
点击“下一步”,选择创建快捷方式的位置。
如图:点击“下一步”,确认安装的配置。
如下图:点击“下一步”,程序开始安装。
如下图:安装一般需要几分钟,请耐心等待。
快安装成功时会有如下提示配置My_SQL端口号的窗口,默认为“3306”,如下图:点击“OK”,又会出现如下提示窗口,提示配置Tomcat端口号,默认为“8080”如下图:、点击“OK”,确认端口进入完成界面,如下图:待程序安装完毕,会提示安装成功,点击“重新启动”即完成安装。
2.2 卸载执行WSEM的卸载程序,会卸载WSEM安装时创建的所有程序文件。
在开始菜单选择“所有程序”中找到WSEM,如下图:点击“卸载WSEM”,会提示是否卸载WSEM,如下图:点击“下一步”,卸载程序开始卸载WSEM,如下图:卸载完成,点击“完成”,关闭窗口,此时程序卸载成功。
如下图3 快速入门(各模块页面操作)3.1 启动WSEM右击“我的电脑”,在弹出的右键菜单中选择“管理”,将打开计算机管理,如下图所示:点击“服务和应用程序”左侧的“+”打开服务与应用程序树,然后点击数中的“服务”项,在右侧拉动滚动条到最后项,可以看到两项服务:WSEM_MySQL和WSEM_Tomcat 如下图所示:此时两项服务都是手动开启,选择WSEM_MySQL,右击则弹出一菜单栏,然后点击“启动”如下图所示:同样选择WSEM_Tomcat,右击则弹出一菜单栏,然后点击“启动”,则启动了两项服务。
此时在IE浏览器中输入localhost:8080/WSEM后,就打开了WSEM3.2 界面框架双击WSEM图标后,将打开WSEM的登陆界面,如下图:输入用户名及密码然后,点击“登录”进入主页面,如下图所示:3.3项目管理模块点击左侧功能导航树栏的“项目管理”,进入项目管理页面,如下图:用户可以对项目信息进行添加,查询,编辑(),删除()等操作。
注意:添加或编辑(修改)时项目名称不能相同。
点击项目列表右侧“添加”按钮进入添加页面,如下图:、用户在填写好项目相关信息后(其中后面带红色“*”号为必填项),在用户信息列表中选择一个或多个用户(点击用户名左侧的空白方框按钮,当出现对号则表示选中),表示把该项目添加到这些用户的名下,然后点击“确定”完成添加。
点击项目列表右侧“查询”按钮进入查询页面,如下图,用户可以根据输入的查询条件进行查询,;例如查询项目编号为2的项目,在项目编号栏输入“2”,然后点击“确定”,进入查询结果页面,如下图:点击打开项目编辑窗口,对项目进行编辑,如下图:点击项目右侧(删除),会弹出是否删除的选择窗口对项目进行删除,如下图:点击“确定”,则删除此项目。
3.3 用户管理模块3.3.1用户信息管理点击功能导航树栏的“用户管理”打开用户管理树,然后点击“用户信息管理”进入用户信息页面。
用户可以进行添加,查询,删除(按钮),编辑(按钮)操作。
注意:添加或编辑(修改)时用户名称不能相同,如下图:点击用户列表右侧的“添加”进入添加页面,如下图:其中后面带红色“*”号的为必填选项,而部门和用户角色则在下拉框中进行选择。
点击用户右侧的进入编辑页面,可以对用户信息进行编辑,而带红色“*”号的选项不能为空,如下图:3.3.2 部门信息模块点击“部门信息管理”进入该页面,用户可以进行添加,编辑等操作,如下图:注意:添加或编辑(修改)时部门名称不能相同。
页面上显示的部门信息是系统默认的,只能通过“编辑”进行修改,不能删除,如点击部门编号为“0”,描述为默认的部门右侧的删除按钮,会出现提示窗口,如下图所示:点击提示窗口的“确定”,然后进入部门列表窗口,如下图所示:由图可以看出,该部门没有被删除。
3.3.3用户角色模块点击“角色信息管理”进入该页面,如下图:页面显示的3个角色设置为系统默认的,只能编辑(),不能删除()注意:添加或编辑(修改)时项目名称不能相同,例如我们添加一个角色名也为“经理”的用户看会出现什么结果。
点击“添加”进入添加页面,如下图:其中“角色权限”项的容可以在其下面的选择框中点击选择,为该角色添加相应的角色权限,以限定该角色的操作功能。
点击“确定”,就会进入角色列表窗口,如下图:系统在角色列表上方显示:添加角色失败,已存在相同名称的角色,说明添加失败。
点击角色管理主页面上的角色名为经理的“编辑”项(),用户可以进入该角色的编辑页面,看到相关信息,如下图:用户可以看到经理这一角色的权限:拥有对项目进行安全测试,风险统计,项目管理模块的操作权限。
提示:用户管理信息模块和部门信息模块的信息在用户信息模块中要用到。
用户信息模块的容在项目信息模块中要用到。
3.4风险分类模块点击功能导航树栏的“风险分类“进入该页面,如下图所示:点击打开其中一条树,点击相应的项,可以在右边显示其容。
例如点击第二项“2 API误用”,然后点击第一项“2.1 代码正确性:调用System.gc()”,如下图所示:点击“添加“,右边会出现添加页面(如:在api误用中添加一项名为”wwwww“)。
可以在左边页面看到添加的项,点击确定则该项添加成功。
3.5 代码扫描规则模块点击功能导航树栏的“代码扫描规则管理”进入该页面,如下图所示:用户可以进行添加,查询,导入,导出等操作。
点击代码扫描规则右侧的“导入”按钮,进入导入窗口。
如下图:点击“浏览”,弹出窗口,如下图所示:选择要上传的文件,点“确定”则可以上传,注意:上传的文件必须是压缩成zip包的xml 文件。
点击代码扫描规则右侧的“导出”,弹出导出窗口,如下图:选择相应的地址进行保存,导出的是此时数据库中所有的代码扫描规则。
3.6 安全测试模块点击功能导航树栏的“安全测试规则管理”进入该页面,如下图所示:点击安全测试规则右侧的“导入”,进入导入窗口,点击“浏览”。
如下图:选择要导入的文件点击确定。
3.7 解决方案点击功能导航树栏的“解决方案管理”进入该页面,如下图:3.8参考资源点击功能导航树栏的“参考资源管理”进入该页面,如下图所示:4 报表分析从登陆页面进入到主页面后,用户如果要查看项目风险统计和项目安全评估,则要先在项目管理模块中选择一个项目,如图:点“进入项目”进入一个项目,如图:用户可以对项目风险统计和项目安全评估进行操作(注:一个用户登陆后进入项目管理,只能看到属于自己的项目,这个在项目添加页面里的用户信息列表中可以选择把项目加到用户名下)4.1项目安全评估4.1.1安全测试点击“项目安全评估”中的“安全测试”,如下图:用户可以进行上传,查询等操作。
点击“上传”按钮,进入上传页面,点击浏览,如图所示:选择要上传的文件,然后点击“打开”,则上传成功。
点击编号为1右侧的“查看”可以看到,如下图:其中“导出为PDF格式”和“导出为HTML格式”两个按钮可以把该页面信息导出为指定的格式,以便保存,如点击“导出为HTML格式”,如下图:4.1.2代码测试点击“项目安全评估”中的“代码审查”,进入代码审查界面,如下图:点击右侧“上传”,打开上传窗口,点击浏览,如下图:选择要上传的文件,点击“打开”,上传成功。
4.2 项目风险统计点击“项目风险统计”,进入项目风险统计界面,如下图:4.2.1项目风险统计点击右边页面中的“项目风险统计”,用户可以看到项目的历史(最近两次)风险统计报表图,如下图:4.2.2安全测试风险统计点击“安全测试风险统计”下的风险统计结果,显示最近一次上传的测试结果的报表。
页面如下图:4.2.3安全测试风险历史统计点击“历史风险统计”,显示最近两次统计的报表如下图:4.2.4安全测试阶段风险统计点击“阶段风险统计”,显示所选时间段的风险统计报表,如下图:4.2.5代码扫描风险统计点击“项目安全评估”中的“代码审查”,进入代码审查界面,如下图:点击“代码扫描风险统计”下的风险统计结果,显示最近一次上传的测试结果的报表。
如下图:4.2.6代码扫描风险历史统计点击“历史风险统计”,显示最近统计的报表如下图:4.2.7代码扫描阶段风险统计点击“阶段风险统计”,显示所选时间段的风险统计报表,如下图:用户可以选择开始时间,结束时间,然后点击查看,结果如下图:。