你通常要做的是首先對要測試的站點進行web應用安全測試掃描。尤其是當你還對掃描器的功用和目 標站點所存在的缺陷一無所知的情況下，這非常重要。一個外部掃描可能會對你試著去掃描的web應用注 入惡意代碼擾亂它的操作執行。
　　首先，你需要理解的是掃描器是如何工作的。Web漏斗掃描器抓取站點信息，找出所有站點中的相關 文件和可輸入點，并對這些發現的對象目標發起大量的安全檢查。這個抓取的過程在掃描過程中是至關重 要的一步，因此你要確定web漏洞掃描器能夠抓取關于站點的所有對象和輸入點。如果它不能發現這些， 安全掃描就不會得出正確的結果，因為即使它能發現絕大部分的漏洞，但是只要漏掉一個，而那個又恰巧 是輸入點或有用的參數，黑客就會利用這個漏洞破壞你的站點。
　　其次，你應該檢查web漏洞掃描器發現了多少實際存在的漏洞。一個常見的錯誤行為是用戶基于web漏 洞掃描器發現的錯誤作出決定，而不去檢查它們是不是誤報漏洞。你一定不希望一個掃描器誤報給你一大 堆錯誤漏洞，然后讓你一個一個的去檢查。在這種情況下，你就要手動進行滲透測試了——web漏洞掃描 器的目的在于減輕你的工作，使你更有效率——而不是浪費你的時間。
　　如果一款掃描器報告大量的錯誤信息，很有可能問題出在配置上。Web漏洞掃描器是一種復雜的軟件 系統，而且由于它們用在各種各樣的網絡應用中，它們有大量的選擇/配置項。一個外部測試可能不會返 回一個理想的結果，也許僅僅稍微花點時間重新調整一下掃描器的設置，它就會返回100%正確的結果。因 此，在測試階段就要仔細檢查配置信息，熟悉它們，來更好的使用它們。
　　最后，很重要的一點，你也應該了解軟件公司客服部門的工作效率。Web漏洞掃描器是功能復雜的軟 件，用它去發現站點中的漏洞的過程是漫長而艱辛的。一旦遇到問題，你需要一個高效的技術服務工程師 來協助。如果這個客服部門話費太長的時間去回應你的要求，或者它只是簡單的和你交流幾句，那就太晚 了。攻擊者找到漏洞的速度比你想想的快多了。
　　這個問題也引出了另一個問題——我們是否應該使用開源軟件？很多“炫技”的人——尤其是在安全 領域——在工作中總是使用開源程序。也許它能解決你工作中遇到的問題，可是當你遇到不知如何解決的 問題的時候，你就要去它的開源社區或者郵件列表組中尋求答案了。這經常是沒有答復，或者是你在忙著 收發郵件的過程中花費了大量的時間才得到正確的解決方案，這期間你的站點一直處在易被攻擊的狀態。