輸入/輸出追蹤

AppScan® Source for Analysis 能夠追蹤從已知來源到接收槽遺失接收槽的資料時,就會產生輸入/輸出追蹤

輸入/輸出追蹤

如果程式碼分析能夠追蹤污染的來源到某個接收槽或遺失的接收槽,分析會產生一項輸入/輸出追蹤。追蹤的根是一個方法,它從污染的產生來源取得資料,再將資料傳給一系列呼叫,並最終寫入不受保護的接收槽。

來源和接收槽

  • 來源:來源是程式的輸入,例如檔案、Servlet 要求、主控台輸入或 Socket。對大部分輸入來源而言,傳回的資料在內容和長度方面並無限制。如果沒有對輸入進行檢查,則會將其視為受到污染。來源列在任何發現項目表格的來源直欄中。
  • 接收槽:接收槽可以是資料能夠寫出的任何外部格式。資料庫、檔案、主控台輸出和 Socket 都是接收槽的範例。未經檢查,便將資料寫入接收槽,可能是一個嚴重的安全漏洞。
  • 遺失的接收槽遺失的接收槽是指無法再追蹤的 API 方法。