發現項目表格

這份表格說明發現項目表格中可用的直欄。如果無法使用某個直欄,很可能是表格將它隱藏了。如果要選取直欄來檢視(或在表格中執行任何其他自訂作業),請遵循自訂發現項目表格中的指示。

1. 發現項目表格
直欄標題 說明
追蹤 這個直欄中的圖示指出遺失或已知的接收槽有追蹤資料存在。
嚴重性
  • :造成資料在機密性、完整性或可用性方面的風險,以及/或造成處理資源在完整性或可用性方面的風險。高度嚴重性狀況應該優先立即補救。
  • :造成資料安全和資源完整性的風險,但在此狀況下遭到攻擊的機率較低。中度嚴重性狀況應該儘可能檢查及補救。
  • :造成最低的資料安全或資源完整性風險。
  • 參考資訊:發現項目本身不容易產生危害。它說明程式碼中使用的技術、架構性質或安全機制。
分類 發現項目的類型:明確可疑安全發現項目,或掃描涵蓋面發現項目。
註: 在某些情況下,可能使用,表示既非安全發現項目,也非掃描涵蓋面發現項目的分類。
漏洞類型 漏洞種類,例如 Validation.RequiredInjection.SQL
API 有漏洞的呼叫,顯示 API 和傳給 API 的引數。
來源 來源是程式的輸入,例如檔案、Servlet 要求、主控台輸入或 Socket。對大部分輸入來源而言,傳回的資料在內容和長度方面並無限制。如果沒有對輸入進行檢查,則會將其視為受到污染。
接收槽 接收槽可以是資料能夠寫出的任何外部格式。資料庫、檔案、主控台輸出和 Socket 都是接收槽的範例。未經檢查,便將資料寫入接收槽,可能是一個嚴重的安全漏洞。
目錄 已掃描檔案的完整路徑。
檔案 出現安全發現項目或掃描涵蓋面發現項目的程式檔名稱。發現項目中的檔案路徑是相對於掃描的專案工作目錄。
呼叫方法 發出有漏洞呼叫的函數(或方法)。
程式檔中有漏洞的 API 所在的行號。
組合 包含這個發現項目的組合。
CWE 一般軟體弱點的社群開發字典 ID 和主題(一般弱點列舉 (CWE) 主題)。