顯示發現項目
在「發現項目」視圖或任何含有發現項目的視圖中,每次掃描都會顯示一個「發現項目樹狀結構」(評量準則的階層式分組)和「發現項目表格」。您在發現項目樹狀結構中選取的項目,會決定呈現在表格中的發現項目。
如果選取樹狀結構根目錄,則會將所有發現項目顯示在表格中;如果選取一個分組類型,則只會顯示那些類型的發現項目。
AppScan® Source for Analysis 依不同的分組來顯示發現項目,其中包括:
- 修正程式群組(預設)
發現項目樹狀結構中的修正程式群組會以階層形式列出,如下所示:漏洞群組和類型 > 來源 > 嚴重性。
- 漏洞類型
- 分類
- 檔案
- 來源
- 接收槽
- API
- 組合
- CWE
- 表格
註: 分類和嚴重性排序,依預設,按降冪排序。所有其他直欄按升冪排序。
這些直欄出現在發現項目表格中。
| 直欄標題 | 說明 |
|---|---|
| 追蹤 | 這個直欄中的圖示指出遺失或已知的接收槽有追蹤資料存在。 |
| 嚴重性 |
|
| 分類 | 發現項目的類型:明確或可疑安全發現項目,或掃描涵蓋面發現項目。 註: 在某些情況下,可能使用無,表示既非安全發現項目,也非掃描涵蓋面發現項目的分類。 |
| 漏洞類型 | 漏洞種類,例如 Validation.Required 或 Injection.SQL。 |
| API | 有漏洞的呼叫,顯示 API 和傳給 API 的引數。 |
| 來源 | 來源是程式的輸入,例如檔案、Servlet 要求、主控台輸入或 Socket。對大部分輸入來源而言,傳回的資料在內容和長度方面並無限制。如果沒有對輸入進行檢查,則會將其視為受到污染。 |
| 接收槽 | 接收槽可以是資料能夠寫出的任何外部格式。資料庫、檔案、主控台輸出和 Socket 都是接收槽的範例。未經檢查,便將資料寫入接收槽,可能是一個嚴重的安全漏洞。 |
| 目錄 | 已掃描檔案的完整路徑。 |
| 檔案 | 出現安全發現項目或掃描涵蓋面發現項目的程式檔名稱。發現項目中的檔案路徑是相對於掃描的專案工作目錄。 |
| 呼叫方法 | 發出有漏洞呼叫的函數(或方法)。 |
| 行 | 程式檔中有漏洞的 API 所在的行號。 |
| 組合 | 包含這個發現項目的組合。 |
| CWE | 一般軟體弱點的社群開發字典 ID 和主題(一般弱點列舉 (CWE) 主題)。 |
註: 如果 AppScan® 來源 找不到您選取之發現項目的原始檔,系統會顯示一個對話框,詢問當找不到原始檔時是否要提示您。如果您選取是,則每次找不到所選取之發現項目的原始檔時,就會提示您。如果您選取否,則不會提示您。只要現行評量開啟,這項設定即會持續有效。每次開啟評量或是結束 AppScan® 來源 時,會重設此設定。