appscan 有个策略选择，你在里头勾选就可以，扫描时还要保证有覆盖到所有接口。之后遇到安全问题，根据描述去复现场景，复现出来记 bug 就可以了。不过 appscan 扫不全，可以扫些注入漏洞、xss、csrf，一般还需要补充些必要的安全测试用例直接手动测试，比方说越权场景、强刷（校验是否上锁）等。

工具扫描不能代表安全的全部：
1-工具的指纹库是否持续更新：比如缺少新的漏洞信息，或者无法识别使用的中间件或工具
2-工具扫描的路径是否全面：有些 url 路径需要通过一定操作才能访问到
3-一些漏洞可能需要通过多次转换才能判断，这个一般工具不具备（自动化的内容一般都是简单遍历 payload），尤其 sql 注入
4-功能权限校验类需要人去做，工具可不知道业务上那些功能有权限区分
5-需要多步校验中逻辑漏洞、敏感信息、短信类滥用则需要人工和工具结合...
...

tips:安全测试水很深

谢谢大佬，知道安全测试水很深，因为领导要做也是迫不得已下水的。...

嗯，这几天了解了一下有关的工具，一个 appscan 的扫描可能只是安全测试的冰山一角，还有很多很多需要去学习关注的点~~~

最近也在学习，感觉工具只是辅助，不能完全依赖工具完成安全测试

麻烦问下你这个用户弱口令是用什么工具可以扫出来的？