使用AppScan，可以自动化检测Web应用的各种安全漏洞，比方说，跨站点脚本攻击（Crosssite Scripting Flaws）、注入式攻击（Injection Flaws）、失效的访问控制（Broken Access Control）、缓存溢出问题（Buffer Overflows），等等。这些安全漏洞大多包括在OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）所公布的Web应用安全漏洞中。AppScan这个工具集成了针对各种安全漏洞的攻击方法，而且可以自动发起攻击。

    为了有效地进行安全漏洞软件测试，需要更多类似于AppScan的自动化测试工具。

    很多人认为，安全漏洞软件测试人员应该站在软件开发人员的对立面，他们应该在测试时才亮出自己的“独门暗器”。通过这样的突然攻击，可以让软件开发人员措手不及，从而更好地发现软件实现中的逻辑缺陷。这种做法似乎符合母狮与瞪羚的隐喻。

    但是，我们不要忘了安全漏洞软件测试的另一项使命——帮助软件获得更强的生存能力。

    我们在前面已经提到过这个观点。致远服软认为http://www.soft8.com.cn/基于这个观点，所有的测试手段（存在于企业资产库中）都应该是公开的，而不应该是“独门暗器”。理想的情况下，在软件生产时，开发人员就已经对这些攻击的可能性进行了考虑、设计、实现和验证（我把软件实现中的这种验证称之为“可行性测试”）。

    就测试手段来说，大连在线订单软件开发人员和测试人员所使用的没有什么不同。区别在于，软件测试人员尝试覆 盖更多的逻辑路径。

    所以，软件测试人员应该帮助开发人员尽早理解那些现有的测试方法，并尽早修补可能被攻破的逻辑缺陷。软件开发人员和测试人员应该拥有着相同的目标。

    对于软件测试人员来说，除了熟练应用知识资产库中已知的测试手段外，还需要不断地寻找新的攻击方法（这也是软件测试的主要工作）。当新的攻击方法被证明有效时，它们将很快转变成为软件测试方面的经验知识，继而成为软件开发的经验知识。