Rapport À propos de ce problème

La boîte de dialogue A propos de ce problème présente un récapitulatif du problème sélectionné dans l'application et est identifié par l'ID unique du problème. Il fournit des détails sur le problème ainsi que des conseils aux développeurs du contrôle qualité (QA) et Web à appliquer au cours du processus de résolution. Selon le type de problème sélectionné, toutes les informations présentées dans cette rubrique n'apparaissent pas dans l'interface utilisateur.

Conseil

Les Conseils contiennent les détails suivants sur le problème :
  • Type de test (Application ou Infrastructure)
  • Classification des menaces par le consortium WASC (Web Application Security Consortium)
  • Risques de sécurité ("scénarios-catastrophe") pour votre organisation
  • Causes pouvant expliquer la raison pour laquelle votre application est devenue vulnérable
  • Description technique du problème
  • Produits concernés (versions de produit affectées par ce problème de sécurité, par exemple ASP.Net 1.1 Service Pack 1)
  • Références et liens pertinents, notamment CVE, CWE et IBM Security X-Force

Recommandation de correction

Une Recommandation de correction propose aux développeurs des exemples de code propres à certains environnements de développement afin de permettre la résolution du problème dans le code source de l'application :
  • Général
  • .Net
  • J2EE
  • Outils Java™ recommandés
  • Références

Fragments de code

Les Fragments de code fournissent une analyse statique du code source JavaScript ; les problèmes détectés incluent les informations de trace au niveau de la source, en mettant en évidence le code source vulnérable. Les lignes du code numérotées et mises en évidence indiquent, étape par étape, comment sont propagées des données non fiables depuis la source jusqu'au collecteur, jusqu'à leur utilisation non sécurisée.

Trace

Les informations de trace fournissent les informations suivantes concernant la vulnérabilité source AppScan® importée :
  • Classification : indique le type de résultat : Sécurité (Définitif ou Suspect) ou Configuration.
  • Contexte : affiche le flot de données pour la méthode dans la pile de sortie, notamment le numéro de la ligne du code source sur laquelle figurent le problème et le contexte.
  • Fichier source : indique les fichiers source du projet de l'espace de travail qui contiennent les vulnérabilités.
  • Numéro de ligne : indique à quel endroit du code la vulnérabilité a été détectée.

Demandes et réponses de test

Les Demandes et réponses de test fournissent des informations concernant les tests et leurs variantes spécifiques qui ont été transmis à votre application Web afin d'en découvrir les failles. Un test peut faire l'objet de différentes variantes. Une variante est une version qui diffère légèrement de la demande de test originale et que le travail d'examen dirige sur le serveur de votre application Web. Une première demande est envoyée, celle-ci étant censée être conforme et suivre la logique métier de l'application. La même demande est ensuite envoyée, mais avec des modifications visant à déterminer comment votre application gère les demandes incorrectes ou comportant des erreurs. Chaque demande peut se voir associer un nombre quelconque de variantes - autant que nécessaire pour couvrir toutes les règles de sécurité à tous les niveaux de la base de données. Par exemple, un test est lancé pour vérifier que vous avez bien fait respecter les règles d'entrée utilisateur pour un paramètre spécifique. Une variante va vérifier que les apostrophes ne constituent pas des entrées valides, cependant qu'une autre va vérifier que les guillemets ne sont pas admis.

Remarque :
  • La page "A propos de ce problème" affiche uniquement les variantes pour lesquelles une correction a été apportée.
  • Dans les versions précédentes, le trafic d'origine et le trafic de test étaient affichés. Depuis la version 9.0.2.1, seul le trafic de test est affiché et inclus dans l'exportation XML.