AppScan® 跟踪

利用 AppScan® 跟踪,您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果,并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。

AppScan® 在整个应用程序中跨模块和语言地跟踪数据流。它在调用图中显示可能不安全的数据的路径,并指示应用程序中可能易受漏洞影响的方面。

跟踪可标识应用程序中是否缺少已核准的输入验证和编码例程,从而帮助您击败 SQL 注入、跨站点脚本编制和其他输入验证攻击。您可交互地跟踪整个调用图,直接从“跟踪”视图中进行单击,以在所选开发环境或代码编辑器中查看源代码。通过跟踪还可实施策略,允许您识别正确输入验证和编码所需的核准例程、感染传播或接收器和源,并在未来扫描时使用。

扫描产生跟踪时,您可以为“跟踪”视图中的特定结果创建输入验证或编码例程、漏洞、接收器、源或感染传播器。例如,如果在 AppScan® Source for Analysis 中将某个例程标记为验证例程,并将其添加到 AppScan® Source Security Knowledgebase,那么后续扫描便不再为调用此例程的数据路径报告 Validation.RequiredValidation.Encoding.Required 结果。在跟踪视图中,您还可以将漏洞定义为源和/或接收器,并将某个方法标识为感染传播器、感染的回调或不易受感染。