常见问题与解答

一些常见问题。

常规

扫描为什么会失败?

您的扫描可能失败或进入审核状态的原因包括:
  • 应用程序文件无效
  • 您选择的测试集不适合您的站点/应用程序
  • AppScan Central Platform 无法正常运行或完全无法运行

如果您能够避免这些问题,则您的扫描更有可能自动快速完成。如果将 AppScan 360° 扫描合并到自动化过程中,这一点尤其重要,因此扫描时间将尽可能缩短。

扫描需要多长时间才可完成?

根据应用程序大小和复杂性,完成扫描所需的时间从若干分钟到要长得多不等。您可以选择在扫描完成时接收电子邮件。

AppScan 360° 测试哪些方面的安全问题?

  • AppDOS
  • 浏览器高速缓存敏感信息
  • 注释揭示敏感信息
  • 配置问题
  • 跨站点脚本编制 (XSS)
  • 数据库连接字符串处理
  • 电子邮件钓鱼
  • 电子邮件篡改
  • 需要编码
  • 公开的 Web 服务
  • 文件篡改
  • 文件上载
  • HTTP 请求分割
  • HTTP 响应分割
  • LDAP 注入
  • 公开重定向
  • 操作系统命令注入
  • 路径遍历潜在业务逻辑问题(也包含“不安全直接对象引用”)
  • 特权升级
  • RegEx 注入
  • 除去测试代码
  • SecondOrder 注入
  • 敏感数据暴露
  • 日志中存储了敏感数据
  • 错误消息中揭示了敏感信息
  • 会话管理超时值太大
  • SQL 注入
  • 未加密通信
  • URL 篡改
  • 使用加密不安全的随机数字生成器
  • 使用隐藏字段
  • 使用不安全的密码算法
  • 使用不安全的本机代码
  • 访问控制的安全强度较低
  • 认证的安全强度较低
  • XML 注入
  • XPath 注入
  • XSLT 注入

为何应用程序的风险分级为“未知”?

基于两个因素计算应用程序的风险分级:
  • 发现的问题(由 AppScan 360° 发现)
  • 业务影响(由用户指定)
如果尚未发现任何问题,或者如果业务影响为“未指明”(缺省值),则风险分级将为“未知”。要更改业务影响,请参阅风险评级

SAST

什么是静态分析 IRX 文件以及它包含什么内容?

IRX 是一种安全且加密的 zip 存档,其中包含运行程序的完整静态分析所需的信息。它在创建期间以及(通过 SSL)传输到云期间进行加密。

在内部,IRX 存档包含以下文件和工件:

  • 可部署程序工件的专用、加密表示,从已部署的源代码构建(例如 Java 字节码或 .Net MSIL)。要了解静态分析扫描支持哪些语言,请参阅 静态分析的系统要求
  • 通过程序部署的任何运行时脚本文件,可对这些文件进行分析以查找安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 文件)。
  • 描述程序的应用程序或项目层次结构和关系或依赖关系的 Static Analyzer 配置文件。这允许在应用程序中跨项目边界进行准确而完整的安全性分析。
  • 创建存档期间生成的 Static Analyzer 日志文件(用于诊断和支持)。