使用 AppScan® 來源 預先定義的過濾器

AppScan® 來源 包含一組可供選取來過濾掃描結果的預先定義過濾器。這個說明主題說明這些立即可用的過濾器。

註: AppScan® 來源 8.8 版,預先定義的過濾器已改良,可提供更好的掃描結果。如果您需要繼續使用 AppScan® 來源 舊版本中預先定義的過濾器(保存的過濾器是列在 AppScan 來源 預先定義的過濾器(8.7.x 版及更舊版本)中),請遵循還原保存的預先定義過濾器中的指示。
註:AppScan® Source for Development(Visual Studio 外掛程式)中,這個視圖是「編輯過濾器」視窗的一部分。

! - AppScan® 關鍵少數

這個過濾器會從某些最危險的漏洞種類之中找出符合的發現項目。結果限於高嚴重性和中嚴重性的漏洞。會從發現項目中移除具有特定來源的結果。這個過濾器所包含的特定漏洞種類如下:

Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection.OS
Vulnerability.Injection.LDAP
Vulnerability.Injection.SQL
Vulnerability.Injection.Mail

!- 高風險來源

這個過濾器將發現項目的範圍限於特定的漏洞類型,以及具有下列其中一個內容的來源:

Technology.Communications.HTTP
Technology.Communications.IP
Technology.Communications.RCP
Technology.Communications.TCP
Technology.Communications.UDP
Technology.Communications.WebService 

!- 重要類型

這個過濾器包含的發現項目來自含有重要漏洞種類的更廣泛範圍。以「最後」或「可疑」分類而言,發現項目限於高嚴重性和中嚴重性。這個過濾器所包含的特定種類如下:

Vulnerability.AppDOS
Vulnerability.Authentication.Credentials.Unprotected
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.BufferOverflow.ArrayIndexOutOfBounds
Vulnerability.BufferOverflow.BufferSizeOutOfBounds
Vulnerability.BufferOverflow.IntegerOverflow
Vulnerability.BufferOverflow.Internal
Vulnerability.CrossSiteRequestForgery
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.FileUpload
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.OS
Vulnerability.Injection.SQL
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
Vulnerability.Malicious.EasterEgg
Vulnerability.Malicious.Trigger
Vulnerability.Malicious.Trojan
Vulnerability.PathTraversal
Vulnerability.Validation.EncodingRequired
Vulnerability.Validation.EncodingRequired.Struts

CWE SANS Top 25 2010 漏洞

這個過濾器聚焦在與 2010 年 CWE/SANS TOP 25 最危險的軟體錯誤相關的漏洞類型。

如果要進一步瞭解 2011 CWE/SANS Top 25 Most Dangerous Software Errors(2011 CWE/SANS Top 25 最危險的軟體錯誤),請參閱 http://cwe.mitre.org/top25/

外部通訊

這個過濾器會找出從應用程式之外,透過網路而來的發現項目。這個過濾器會比對來自任何 Technology.Communications 來源的發現項目。

低嚴重性和參考資訊

這個過濾器包含嚴重性為「低」和「參考資訊」的發現項目。包含所有分類(明確、可疑和掃描涵蓋面)。

雜訊 - 品質

此過濾器導致結果只包含與品質編寫實務相關的漏洞類型。

OWASP Mobile Top 10 漏洞

這個過濾器聚焦在與「開放式 Web 應用程式安全專案 (OWASP)」Mobile Top 10 Release Candidate 1.0 版清單相關的漏洞類型。

如果要瞭解 OWASP,請參閱 https://www.owasp.org/index.php/Main_Page。各種 OWASP 文件及安全風險的鏈結位置如下:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

OWASP Top 10 2010 漏洞

這個過濾器聚焦在與「開放式 Web 應用程式安全專案 (OWASP)」Top 10 2010 清單相關的漏洞類型。

如果要瞭解 OWASP,請參閱 https://www.owasp.org/index.php/Main_Page。各種 OWASP 文件及安全風險的鏈結位置如下:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

OWASP Top 10 2013 漏洞

這個過濾器聚焦在與「開放式 Web 應用程式安全專案 (OWASP)」Top 10 2013 清單相關的漏洞類型。

如果要瞭解 OWASP,請參閱 https://www.owasp.org/index.php/Main_Page。各種 OWASP 文件及安全風險的鏈結位置如下:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

「PCI 資料安全標準」漏洞

這個過濾器聚焦在與「付款卡產業資料安全標準 (PCI DSS) 3.2 版」標準相關的漏洞類型。

如需相關資訊,請參閱 https://www.pcisecuritystandards.org/security_standards/index.php

掃描涵蓋面發現項目

此過濾器導致結果只包含「掃描涵蓋面發現項目」(如需相關資訊,請參閱分類)。

已鎖定的漏洞 - EncodingRequired 針對 HTTP 來源

這個過濾器聚焦在 Validation.EncodingRequiredValidation.EncodingRequired.Struts 漏洞種類的發現項目。只包含從 Technology.Communications.HTTP 來源產生的發現項目。以「明確」或「可疑」分類而言,發現項目限於高嚴重性和中嚴重性。

已鎖定的漏洞 - C/C++ 接收槽需要驗證

這個過濾器聚焦在一組已知 C 和 C++ 接收槽的 Validation.Required 漏洞。以「明確」或「可疑」分類而言,發現項目限於高嚴重性和中嚴重性。

授信來源

這個過濾器假設來自階段作業物件或要求屬性等特定來源的資料是安全的。

無追蹤資料的漏洞

此過濾器列出不包含追蹤資料的漏洞。