「關於此問題」報告

關於此問題對話框彙總了應用程式中所選取的問題,並以唯一「問題 ID」來識別問題。它提供關於問題的詳細資料,也為 QA 及 Web 開發人員提供修正方式,供他們在補救程序期間使用。根據所選的問題類型,本主題所討論的資訊並不一定都會出現在使用者介面中。

如何修正

「如何修正」包含問題的下列詳細資料:
  • 問題的語言文章(JAVA、PHP 和 .NET 等)。
  • 測試類型(「應用程式」或「基礎架構」)
  • 應用程式存在漏洞的可能原因。
  • 組織所面臨的風險(最糟的情況)。
  • 受影響的產品(這個安全問題所影響的產品版本,如 ASP.Net 1.1 Service Pack 1)。
  • 問題的不當運用範例。

修正建議

「修正建議」向開發人員提供特定開發環境專用的程式碼範例,以便在應用程式原始碼中修正問題:
  • 建議的 Java 工具
  • 參照

包括 CWE

  • 問題的相關文章
  • 問題的外部參照

程式碼 Snippet

「程式碼片段」提供了 JavaScript 原始碼的靜態分析;發現的問題包括強調顯示有漏洞原始碼的來源層次追蹤資訊。程式碼中的強調顯示行和編號行逐步顯示(從來源到目標)進入應用程式的未受信任資料如何延伸,直到以不安全的方式被使用。

追蹤

與匯入的 AppScan® Source 漏洞相關的追蹤資訊包括:
  • 分類:指出發現項目的類型:安全(明確或可疑)和配置。
  • 環境定義:顯示方法在輸出堆疊中的資料流程,包括原始碼中問題和環境定義所在的行號。
  • 原始檔:指出工作區專案中含有漏洞的原始檔。
  • 行號:指出程式碼中偵測到漏洞的位置。

測試要求與回應

「測試要求與回應」提供了測試及其特定變式(已傳給您的 Web 應用程式來探索其弱點所在)的相關資訊。測試可能有多個變式。變式與掃描工作傳給您的 Web 應用程式伺服器的原始測試要求有些微差異。最初傳送的要求是合法的,而且遵循應用程式的商業邏輯。然後它又傳送相同的要求,但加以修改,以便探索您的應用程式如何處理不正確或錯誤的要求。每個測試要求都可能含有一些變式,變式數量必須足以涵蓋龐大資料庫中的所有安全規則。例如,傳送一項測試來檢查您是否強制執行特定參數的使用者輸入規則。一個變式用來檢查單引號不是有效的輸入;另一個變式用來檢查不接受引號。

註:
  • 「關於此問題」頁面不會顯示修正的變式;它只顯示未修正的變式。
  • 在舊版中,會顯示原始和測試資料流量。從 9.0.2.1 版開始,XML 匯出只會顯示及包含測試資料流量。