traçage des entrées/sorties
Une trace des entrées/sorties est générée lorsque AppScan® Source for Analysis peut suivre le cheminement des données depuis une source connue vers un collecteur ou un collecteur indéterminé.
Trace des entrées/sorties
Si l'analyse du code peut suivre une source entachée jusqu'à un collecteur ou un collecteur indéterminé, elle génère alors une trace des entrées/sorties. La racine de la trace est la méthode qui obtient des données depuis des sources entachées et les transmet à une série d'appels qui les consignent finalement dans un collecteur non protégé.Sources et collecteurs
- Source : Une source est une entrée du programme, telle qu'un fichier, une requête de servlet, une saisie depuis la console ou un socket. Dans le cas de la plupart des sources d'entrées, les données renvoyées ne sont pas limitées en termes de contenu et de longueur. Lorsqu'une entrée n'est pas vérifiée, elle est considérée comme entachée. Les sources sont répertoriées dans les tables de constatations sous la colonne Source.
- Collecteur : un collecteur peut être un format externe quelconque dans lequel des données peuvent être consignées. Comme exemples de collecteurs, on peut citer des bases de données, des fichiers, des sorties console et des sockets. La consignation de données dans un collecteur sans leur vérification peut donner lieu à une vulnérabilité sérieuse de la sécurité.
- Collecteur indéterminé : un collecteur indéterminé est une méthode API qui ne peut plus faire l'objet d'une trace.