Likelihood ルール属性

Attribute.Likelihood.High 属性と Attribute.Likelihood.Low 属性は、標準装備のルールの一部で、カスタム・ルールの作成に使用できます。

AppScan® ソースで、 可能性 は、セキュリティー検出結果が悪用される確率や機会を表します。 AppScan ソース は、 https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Step_2:_Factors_for_Estimating_Likelihoodに示された可能性の定義を取り込み、トレース・プロパティーに基づいて可能性を判定することで、その定義を精緻化します。提供された一連のトレース・プロパティー (例えば、ソース API 名、ソース API タイプ、ソース・テクノロジー、あるいはソース・メカニズムなど) によって、AppScan ソース は、将来において特定の脆弱性を使用してトレースが悪用される可能性を判別します。

可能性は、トレースのソース・エレメントと結び付けられます。ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染のソースと見なされます。

可能性の例には、以下のものがあります。

• HTTP ソースを持つトレース ( Request.getQueryStringなど) とクロスサイト・スクリプティング・シンク ( Response.writeなど) を前提とすると、高可能性と判定され、検出結果の信頼性は上がります。
• システム・プロパティー・ソースを持つトレース ( getPropertyなど) とクロスサイト・スクリプティング・シンク ( Response.writeなど) を前提とすると、低可能性と判定され、検出結果の信頼性は下がります。

可能性は、即時にアクションを実行するか修正する必要がある、優先度が高く実行可能な検出結果を識別するために使用されます。これは、悪用される可能性が高い汚染のソースと結び付けられ、検出結果を分類するためにより微細化されたアプローチを提供することができます。可能性は、汚染のソースに結び付けられた属性として、AppScan ソース 脆弱性データベースに保管されます。この機能は、設定なしですぐに使用できます。

IBM は、ソースの可能性要因を判別するための大規模な研究を実施してきています。カスタム・ルール・ウィザードを使用して、ルール・ベースに追加する新規の汚染ソースに可能性情報を追加することができます。これにより、スキャンによって生成された検出結果の分類が改善され、それによってトリアージ・ワークフロー全体の効率性が向上します。

カスタム・ルール・ウィザードには、「可能性」プロパティーに設定可能な 2 つの値 (「高」および「低」) があります。値「高」は、汚染に対してソースが非常に影響を受けやすいことを意味します。つまり、システムに入り込む汚染に対する障壁が非常に低いため、攻撃者は簡単に悪意のあるデータを手動でまたは自動的に送信することができます。値「低」は、このソースを介した悪意のあるデータの侵入に対する障壁が非常に高くなります。これは、ソースを汚染するために、攻撃者は、システムのインサイダー情報を入手し、被害者のネットワークに対する操作権限を持っている必要があることを意味します。