应用体检
##############

服务概述
===============

新浪云应用体检通过对应用进行一些常规安全测试，以帮助开发者发现自己应用程序当中潜在的安全漏洞。安全测试是通过向应用发一起一定数量的特定请求来完成的，这些请求依据应用的访问日志生成。
目前所检测的项目包括：

+ 代码执行
+ 目录遍历
+ 文件包含
+ 敏感信息泄露
+ SQL注入
+ 跨站

.. warning:: 应用体检服务仅仅提供参考建议，以方便开发者发现潜在的安全问题。其检测结果并不等同于应用的实际安全性。

使用示例
=============

进入应用后台，点击右侧列表"应用调优”分类下的“应用体检”项目，进入应用体检页面：

.. image:: /images/logscan-start.png

选择版本后，点击“开始体检”即可对相应的版本发起一次体检，默认检查前一天应用访问日志的前一万条访问记录。
一次体检的结果会在一天左右的时间内出结果，页面下方会显示历史体检记录（只保留最近10次体检结果）。

.. image:: /images/logscan-history.png

扫描结果可能为三种状态：

+ 如果前一天的日志为空，则显示“当天无日志”；
+ 如果检查全部连接未发现漏洞，则显示“未查出漏洞”；
+ 如果自动检测发现可疑漏洞，则会显示“查看明细”连接，点击可以查看详细检测报告。

.. image:: /images/logscan-detail.png

在详细报告页面，可以看到漏洞存在的url以及出现漏洞的参数。
点击右上角可以查看漏洞修补建议。