Utilisation des filtres prédéfinis AppScan® Source
AppScan® Source inclut un ensemble de filtres prédéfinis que vous pouvez sélectionner pour le filtrage des résultats d'examen. La présente rubrique d'aide décrit ces filtres prêts à l'emploi.
- ! - Le minimum vital AppScan
- ! - Sources à risque élevé
- ! - Types importants
- CWE Top 25 2021 Vulnerabilities
- Communications externes
- Faible gravité et message d'information
- Bruit - Qualité
- OWASP Mobile Top 10 Vulnerabilities
- OWASP API Top 10 Vulnerabilities
- OWASP Top 10 2017 Vulnerabilities
- OWASP Top 10 2021 Vulnerabilities
- Vulnérabilités PCI Data Security Standard
- Vulnérabilités ciblées - EncodingRequired pour sources HTTP
- Vulnérabilités ciblées - Validation requise pour collecteurs C/C++
- Sources sécurisées
- Vulnérabilités sans trace
! - Le minimum vital AppScan®
Ce filtre correspond aux constatations entrant dans les catégories de vulnérabilités les plus dangereuses. Les résultats sont limités aux vulnérabilités de gravité Elevée et Moyenne. Les résultats issus de sources spécifiques sont supprimés des constatations. Ce filtre inclut les catégories de vulnérabilités spécifiques suivantes :
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection.OS
Vulnerability.Injection.LDAP
Vulnerability.Injection.SQL
Vulnerability.Injection.Mail
! - Sources à risque élevé
Ce filtre limite les constatations à des sources et des types de vulnérabilité spécifiques à l'aide de l'une des propriétés suivantes :
Technology.Communications.HTTP
Technology.Communications.IP
Technology.Communications.RCP
Technology.Communications.TCP
Technology.Communications.UDP
Technology.Communications.WebService
! - Types importants
Ce filtre contient les constatations issues d'une plus large plage de catégories de vulnérabilités importantes. Les constatations sont limitées aux gravités Elevée et Moyenne avec les classifications Définitive ou Suspectée. Il inclut les catégories spécifiques suivantes :
Vulnerability.AppDOS
Vulnerability.Authentication.Credentials.Unprotected
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.BufferOverflow.ArrayIndexOutOfBounds
Vulnerability.BufferOverflow.BufferSizeOutOfBounds
Vulnerability.BufferOverflow.IntegerOverflow
Vulnerability.BufferOverflow.Internal
Vulnerability.CrossSiteRequestForgery
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.FileUpload
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.OS
Vulnerability.Injection.SQL
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
Vulnerability.Malicious.EasterEgg
Vulnerability.Malicious.Trigger
Vulnerability.Malicious.Trojan
Vulnerability.PathTraversal
Vulnerability.Validation.EncodingRequired
Vulnerability.Validation.EncodingRequired.Struts
CWE Top 25 2021 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste CWE des 25 erreurs logicielles les plus dangereuses, CWE TOP 25 Most Dangerous Software Errors pour 2021.
Pour en savoir plus sur la liste 2021 CWE Top 25 Most Dangerous Software Errors, voir https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html.
Communications externes
Ce filtre correspond aux constatations de menaces externes à l'application et traversant le réseau. Il trouve tout ce qui provient d'une source Technology.Communications
.
Faible gravité et message d'information
Ce filtre contient les constatations dont la gravité est faible et le message informationnel. Toutes les classifications (Définitive, Suspectée et Couverture d'examen) sont incluses.
Bruit - Qualité
Avec ce filtre, les résultats incluent uniquement les types de vulnérabilité qui sont liés aux pratiques de codage de qualité.
OWASP Mobile Top 10 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste des 10 premières éditions candidates mobiles OWASP (Open Web Application Security Project) v1.0.
Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
OWASP API Top 10 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste Open Web Application Security Project (OWASP) API Top 10.
Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
OWASP Top 10 2017 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste des 10 projets OWASP (Open Web Application Security Project) 2017.
Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
OWASP Top 10 2019 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste des 10 projets OWASP (Open Web Application Security Project) 2019.
Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
OWASP Top 10 2021 Vulnerabilities
Ce filtre porte principalement sur les types de vulnérabilité liés à la liste des 10 projets OWASP (Open Web Application Security Project) 2021.
Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
Vulnérabilités PCI Data Security Standard
Ce filtre se concentre sur les types de vulnérabilité liés à la norme Payment Card Industry Data Security Standard (PCI DSS) version 3.2.
Voir https://www.pcisecuritystandards.org/security_standards/index.php pour plus d'informations.
Constatations de couverture d'examen
Avec ce filtre, les résultats incluent uniquement les constatations de couverture d'examen (voir Classifications pour plus d'informations).
Vulnérabilités ciblées - EncodingRequired
pour sources HTTP
Ce filtre porte principalement sur les constatations issues des catégories de vulnérabilités Validation.EncodingRequired
et Validation.EncodingRequired.Struts
. Seules les constatations provenant de la source Technology.Communications.HTTP
sont incluses. Les constatations sont limitées aux gravités Elevée et Moyenne avec les classifications Définitive ou Suspectée.
Vulnérabilités ciblées - Validation requise pour collecteurs C/C++
Ce filtre concerne les vulnérabilités Validation.Required
pour un ensemble de collecteurs C et C++ connus. Les constatations sont limitées aux gravités Elevée et Moyenne avec les classifications Définitive ou Suspectée.
Sources sécurisées
Ce filtre considère que les données provenant de certaines sources, par exemple des objets de session ou des attributs de demande, sont sûres.
Vulnérabilités sans trace
Ce filtre permet d'afficher les vulnérabilités qui ne contiennent pas de traces.