Podsumowanie automatycznych testów zawiera listę wykrytych nieprawidłowości pogrupowaną na kategorie: luki w systemie, luki w konfiguracji serwera, luki w aplikacji. Często stosowane jest także grupowanie znalezionych potencjalnych zagrożeń po poziomie ryzyka, które niosą: krytyczne, wysokie, średnie, niskie. Dla każdego z zagrożeń znalezionych w aplikacji dostarczany jest adres URL strony, której dotyczy, skrócony opis zagrożenia i ewentualnie link do bazy wiedzy, w której problem jest opisany bardziej szczegółowo.

Sensor dla większej dokładności

W przypadku skanera wyposażonego w sensor, umieszczonego w badanej aplikacji, lista wyników będzie zawierać także informację na temat linii kodu podejrzanej o występowanie w niej nieszczelności, podejrzane zapytanie SQL czy stan stosu aplikacji. Sensor będzie stanowić także pośrednik pomiędzy aplikacją a bazą danych w trakcie prób ataków SQL Injection, co pozwoli na szczegółowe przeanalizowanie budowy aplikacji pod kątem tego zagrożenia. Wykorzystanie sensora zdecydowanie podnosi także dokładność skanowania, poprzez eliminację wykrytych luk, tzw. false positives, w trybie czarnej skrzynki.

Wiele rozwiązań DAST (Dynamic Application Security Testing) oferuje także systemy IAST - Interactive Application Security Testing. Są wśród nich: Acunetix, HP, IBM, NTO, Parasoft i Quotium. Rozwiązania tego typu wymagają integracji z badaną aplikacją i są przeznaczone dla określonych środowisk. W zależności od wykorzystywanej technologii należy się upewnić, czy skaner posiada sensor dla wybranej platformy (np. PHP, Java czy .NET/ASP).

Wykrywanie celów

Przydatnym elementem skanera jest narzędzie do wykrywania celów. Po podaniu zakresu adresów IP oraz numerów portów można otrzymać listę serwerów webowych, które skaner wykryje. Podobna funkcja dotyczy także wyszukiwania serwerów webowych działających w ramach określonej domeny i jej subdomen. Takie rozwiązanie przyda się przy testowaniu bezpieczeństwa serwisów działających w klastrze czy konfiguracji load balancing, gdy aplikacja jest serwowana przez kilka maszyn. Poza tym skanowanie subdomen jest wygodnym narzędziem w sytuacji, gdy w organizacji dysponujemy wieloma serwisami, które chcemy przetestować. Pobocznym rozwiązaniem jest możliwość inwentaryzacji istniejących w firmie serwisów internetowych, co może często doprowadzić do bardzo ciekawych wniosków i odkryć wiele niepotrzebnych i niebezpiecznych "zakamarków" serwerów webowych.

Raport wyników skanowania

Raport wyników skanowania, w zależności od rodzaju wykorzystywanego narzędzia, ma formę rozwijanej listy w aplikacji lub pliku (HTML, PDF czy TXT). Można w nim znaleźć opis znalezionego problemu, wywołanie, które doprowadziło do jego wykrycia i ewentualną lokalizację w kodzie. Ponadto można zapoznać się z dodatkowymi informacjami na temat problemu, które dodali do bazy wiedzy twórcy skanera. Warto zapisać wyniki skanowania, aby móc porównać je z wynikami po podjęciu działań, mających na celu wyeliminowanie znalezionych luk. Wiele skanerów oferuje specjalny interfejs do porównywania wyników, dzięki któremu łatwo ocenimy postępy w "utwardzaniu" serwisu.