「この問題の情報」レポート
「この問題の情報」ダイアログは、アプリケーション内で選択された問題を要約したものであり、問題固有の問題 ID によって識別されます。このレポートは、問題の詳細を示すとともに、QA および Web 開発者が問題の修復プロセス時に使用するアドバイザリーを提供します。選択された問題のタイプによっては、このトピックで説明しているすべての情報がユーザー・インターフェースに表示されない場合があります。
アドバイザリー
- テストのタイプ (アプリケーションまたはインフラストラクチャー)
- Web アプリケーション・セキュリティー・コンソーシアム (WASC) 脅威の分類
- 組織に対するセキュリティー・リスク (最悪の事態)
- アプリケーションに脆弱性が存在するようになった原因として考えられるもの
- 問題の技術的情報
- 影響を受ける製品 (ASP.Net 1.1 Service Pack 1 など、このセキュリティー問題の影響を受ける製品バージョン)
- 参考資料と関連リンク (CVE、CWE、および IBM セキュリティー X-Force を含む)
推奨される修正
- 一般
- .Net
- J2EE
- 推奨 Java™ ツール
- 参照
Glass Box
- 探査フェーズ中、Glass Box スキャンは、サーバー側に影響を与える HTTP パラメーターではありながら、応答内には見つからないためにブラック・ボックス・スキャンのみでは検出されない HTTP パラメーターを発見します。
- テスト・フェーズ中、Glass Box スキャンでは、特定のテスト (ブラインド SQL インジェクションなど) の正常完了または失敗をより高い精度で検証できるため、「誤検出」の結果がより少なくなります。また、ブラック・ボックス・スキャンでは検出できない一部のセキュリティー問題を検出することもできます。
コード・スニペット
「コード・スニペット」には、JavaScript ソース・コードの静的分析が表示されます。検出される問題にはソース・レベルのトレース情報が含まれ、脆弱性のあるソース・コードが強調表示されています。コード内で番号が付けられて強調表示されている行は、アプリケーションに入力された信頼できないデータがどのように伝搬されて非セキュアな方法で使用されるかを、ソースからシンクまで、ステップバイステップで示しています。
Trace (トレース)
- 分類: 検出結果のタイプが含まれます: セキュリティー (「確定」または「要確認」) または構成。
- コンテキスト: 出力スタック内のメソッドのデータ・フローが表示されます。ソース・コード内で問題およびコンテキストが出現する行番号などが示されます。
- ソース・ファイル: 脆弱性を含む、ワークスペース・プロジェクトのソース・ファイルを示します。
- 行番号: コード内のどこに脆弱性が検出されたかを示します。
テスト要求と応答
「テスト要求と応答」には、テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。テストには複数のバリアントがある場合があります。バリアントは、スキャン・ジョブが Web アプリケーション・サーバーに送信するオリジナル・テスト要求とのわずかな差異です。最初に送信される要求は、有効となり、アプリケーションのビジネス・ロジックをたどるようになっています。その後、同じ要求が送信されますが、この要求は、アプリケーションが不適切な要求や間違った要求をどのように処理するかが分かるように変更されています。各テスト要求には多数のバリアント、すなわち、大規模データベースのすべてのセキュリティー・ルールをカバーするのに必要な数のバリアントがあると考えられます。例えば、特定のパラメーターに関するユーザー入力ルールが実施されていることを検査するテストが送信されます。あるバリアントは、アポストロフィが有効な入力でないことを検査し、別のバリアントは引用符が許可されていないことを検査します。
- 「この問題の情報」ページには、修正されたバリアントは表示されません。このページには、修正されなかったバリアントのみが表示されます。
- 前のバージョンでは、元のトラフィックとテスト・トラフィックが表示されていました。v9.0.2.1 以降は、テスト・トラフィックのみが表示され、XML エクスポートに組み込まれます。