Vue Trace

AppScan® Source effectue une analyse des entrées/sorties, puis identifie et affiche les vulnérabilités détectées. Une icône identifie dans la liste des constatations les lignes contenant un diagramme de trace AppScan® Source.

Dans la vue Trace, le nœud racine où se rejoignent les piles d'entrée/sortie est affiché. La pile des entrées correspond à une série d'appels conduisant à une source connue pour contenir des données entachées. La pile des sorties correspond à une série d'appels menant à un collecteur. Une trace AppScan® Source est générée lorsque le code analysé peut retracer l'utilisation d'une source non protégée dans un collecteur non protégé.

• Source : Une source est une entrée du programme, telle qu'un fichier, une requête de servlet, une saisie depuis la console ou un socket. Dans le cas de la plupart des sources d'entrées, les données renvoyées ne sont pas limitées en termes de contenu et de longueur. Lorsqu'une entrée n'est pas vérifiée, elle est considérée comme entachée. Les sources sont répertoriées dans les tables de constatations sous la colonne Source.
• Collecteur : un collecteur peut être un format externe quelconque dans lequel des données peuvent être consignées. Comme exemples de collecteurs, on peut citer des bases de données, des fichiers, des sorties console et des sockets. La consignation de données dans un collecteur sans leur vérification peut donner lieu à une vulnérabilité sérieuse de la sécurité.
• Collecteur indéterminé : un collecteur indéterminé est une méthode API qui ne peut plus faire l'objet d'une trace.

Ce diagramme illustre la séquence d'appels depuis la racine de la pile d'entrée et de la pile de sortie.

Dans ce diagramme :

• Les flèches creuses identifient les appels dont le flux de données n'est pas connu pour être entaché.
• Les flèches pleines contiennent des données potentiellement entachées. Les lignes discontinues indiquent un chemin de retour des données.
• Solid® Les lignes correspondent à un appel de méthode.