问题详细信息面板
问题详细信息面板总结了应用程序中的所选问题,并通过该问题的唯一问题标识予以标识。它提供有关问题的详细信息以及供 QA 和 Web 开发者在其修复过程中使用的建议。根据所选问题的类型,并非该主题中讨论的所有信息都会出现在用户界面中。
"详细信息"选项卡
详细信息选项卡显示了扫描程序发现的导致问题的原始扫描结果,包括差异和原因。
注:
- 免费试用版本不会在该选项卡中显示信息。只有完整订阅服务才能显示内容。
- 已导入的问题不会显示详细信息选项卡。
测试请求和响应部分提供有关测试及其特定变体(已发送到 Web 应用程序以发现存在漏洞的位置)的信息。
一个测试可能有多个变体。变体与扫描作业发送到 Web 应用程序服务器的原始测试请求稍有不同。最初发送请求是为了合法并遵循应用程序的业务逻辑。然后会发送相同的请求,但加以修改,以发现应用程序如何处理不正确的请求。
每个测试请求可能有多个变体,变体的数量需要足够覆盖扩展数据库中的所有安全规则。例如,发送一个测试以检查您是否强制执行特定参数的用户输入规则。一个变体用于检查单引号不是有效输入,而另一个变体用于检查不允许使用引号。
代码片段提供 JavaScript 源代码的静态分析。发现的问题包括突出显示易受攻击源代码的源代码级别跟踪信息。代码中突出显示且编号的行从源代码到接收器逐步显示进入应用程序的不可信数据在以不安全方式使用之前如何进行传播。
跟踪信息包括:
- 分类:指示结果的类型:安全(明确或可疑)或配置。
- 上下文:显示输出堆栈中方法的数据流,包括源代码中出现了问题和上下文的行号。
- 源文件:指示工作空间项目中包含漏洞的源文件。
- 行号:指示代码中检测出漏洞的位置。
“如何修复”选项卡
注: 已导入的问题不会显示修复方法选项卡。
修复方法中包含有关问题的以下详细信息:
- 导致应用程序中存在漏洞的可能原因
- 组织所面临的安全风险(最坏用例场景)
- 修复建议为开发者提供特定于某些开发环境的代码样本,从而能够在应用程序源代码中修复问题。并非所有问题都具有修订建议。
- 参考和相关链接,包括 CVE、CWE 和 IBM Security X-Force
“备注”选项卡
备注选项卡显示您或组织中其他用户添加的备注,这些备注可以是有用的提醒。
注: 已导入的问题不会显示注释选项卡。
“审计跟踪”选项卡
审计跟踪选项卡提供与贵组织下的应用程序中的特定问题相关的所有活动和更改的全面记录。此功能对于跟踪问题的历史和演变,确保透明度、问责制以及促进团队成员之间的有效协作至关重要。
“属性”选项卡
属性选项卡列出了展开的问题详细信息,包括如何以及何时发现问题、类型、状态、严重性、扫描程序和位置,包括问题标识。您可以使用“复制属性”选项轻松复制相关信息,并将其粘贴到报告、电子邮件或其他通信渠道中。