“关于该问题”报告
关于该问题对话框概括应用程序中的所选问题,并通过该问题的唯一“问题标识”予以标识。它提供有关问题的详细信息以及供 QA 和 Web 开发者在其修复过程中使用的建议。根据所选问题的类型,并非该主题中讨论的所有信息都会出现在用户界面中。
咨询
“咨询”包含以下有关问题的详细信息:
- 测试类型(应用程序或基础结构)
- Web 应用程序安全协会 (WASC) 威胁分类
- 组织所面临的安全风险(最坏用例场景)
- 导致应用程序中存在漏洞的可能原因
- 问题的技术性描述
- 受影响的产品(受此安全问题影响的产品版本,例如 ASP.Net 1.1 Service Pack 1)
- 参考和相关链接,包括 CVE、CWE 和 IBM Security X-Force
修订建议
“修订建议”为开发者提供特定于某些开发环境的代码样本,从而能够在应用程序源代码中修订问题:
- 常规
- .Net
- J2EE
- 建议的 Java™ 工具
- 参考资料
Glass Box
常规扫描将应用程序视为“黑匣”,仅分析其输出而不“深入探查”该应用程序;而 glass box 扫描则在扫描期间使用安装在应用程序服务器上的代理程序来检查代码本身。glass box 扫描具有以下优势:
- 在“浏览”阶段,glass box 扫描可暴露那些会影响服务器端但在响应中找不到,并因此仅由黑匣扫描也发现不了的 HTTP 参数。
- 在“测试”阶段,glass box 扫描可更准确地验证特定测试(例如 SQL 盲注入)的成功与否,从而生成更少的“误报”结果。它还能揭示是否存在无法由黑匣技术检测出的特定安全性问题。
代码片段
“代码片段”提供对 JavaScript 源代码的静态分析;发现的问题包括突出显示了易受攻击的源代码的源代码级别跟踪信息。代码中突出显示且编号的行从源代码到接收器逐步显示进入应用程序的不可信数据在以不安全方式使用之前如何进行传播。
跟踪
关于已导入的 AppScan® Source 漏洞的跟踪信息包括:
- 分类:指示发现结果的类型:安全(明确或可疑)或配置。
- 上下文:显示输出堆栈中方法的数据流,包括源代码中出现了问题和上下文的行号。
- 源文件:指示工作空间项目中包含漏洞的源文件。
- 行号:指示代码中检测出漏洞的位置。
测试请求和响应
“测试请求和响应”提供有关测试及其特定变体(已发送到 Web 应用程序以发现存在漏洞的位置)的信息。一个测试可能有多个变体。变体与扫描作业发送到 Web 应用程序服务器的原始测试请求稍有不同。最初发送请求是为了合法并遵循应用程序的业务逻辑。然后会发送相同的请求,但加以修改,以发现应用程序如何处理不正确的请求。每个测试请求可能有多个变体,变体的数量需要足够覆盖扩展数据库中的所有安全规则。例如,发送一个测试以检查您是否强制执行特定参数的用户输入规则。一个变体用于检查单引号不是有效输入;另一个变体用于检查不允许使用引号。
注:
- “关于该问题”页面不显示已修订的变体;仅显示还没有修订的变体。
- 在先前版本中,显示了原始测试流量。从 V9.0.2.1 开始,在 XML 导出中仅显示并包含测试流量。