Tenable.io WAS 是一款动态应用程序安全测试 (DAST) 应用程序。DAST 通过前端对正在运行中的 Web 应用程序进行爬虫分析，创建出包含所有页面、链接和表单的站点地图进行测试。当 DAST 创建完站点地图后，就会通过前端查询站点，识别出应用程序自定义代码中是否存在任何漏洞，或占应用程序大部分的第三方组件中是否存在已知漏洞。

Tenable.io WAS 能够识别 OWASP Top 10 漏洞，包括站点上运行的自定义应用程序代码和易受攻击第三方组件版本中的跨站脚本攻击 (XSS) 和 SQL 注入。这两类漏洞都是确保现代 Web 应用程序得到全方位漏洞覆盖范围的必要前提。

是的，使用 Tenable.io WAS 可以通过预先定义的扫描模板在两分钟内识别 Web 应用程序中的一系列网络安全机制问题。SSL/TLS 扫描模板可用于检查是否存在未正确签发或即将过期的 SSL/TLS 证书，有助于用户避免代价高昂且令人难以决断的浏览器警告和重定向。配置审计扫描模板可用于检查服务器端的一系列错误配置，避免 Web 应用程序受到黑客侦查或中间人攻击。

是的。Tenable.io WAS 包含基于角色的访问权限控制。管理员可以选择创建用户组，并分配用户权限，便于以单个扫描为基础来查看和启动扫描。用户只能看到相关扫描数据，从而使其更便捷地对要修复的漏洞进行优先级排序，集中精力，解决重要事项。

是的。Tenable.io WAS 支持用户创建各类仪表盘，以满足报告需求。预先配置的执行层报告可帮助业务相关方了解团队的修复进度，同时提供详尽的技术细节。Tenable.io WAS 还允许用户创建完全自定义的扫描数据仪表盘，以追踪与团队相关的指标。Tenable.io 和 Tenable.io WAS 用户还可以创建完全集成的仪表盘，将 IT、云和 Web 应用程序漏洞整合其中，实现对整个攻击面的一致可见性。

是的。Tenable.io WAS 能够扫描包括单页应用程序在内的现代 Web 应用程序。尽管没有扫描工具能够保证 100% 覆盖所有应用程序类型和漏洞，但 Tenable.io WAS 可以对大部分常用单页应用程序框架进行抓取和扫描。

Tenable 世界一流的研究团队打造出了 Tenable.io WAS。Tenable Research 会持续分析漏洞和威胁态势，并在发现新的安全问题时为第三方组件和自定义代码漏洞检测添加新的检测手段。

不可以。Tenable.io WAS 是一款动态应用程序安全测试 (DAST) 工具，只能用于测试正在运行中的应用程序，无法执行静态代码检查。静态应用程序安全测试 (SAST) 工具可用于执行代码检查。