"请求/响应"选项卡

“详细信息”窗格的第四个选项卡是“请求/响应”选项卡。

请求/响应选项卡提供了关于测试及其特定变体的信息,这些信息被发送到您的 Web 应用程序,以发现应用程序的弱点。一个测试可能有多个变体。变体AppScan 发送到 Web 应用程序服务器的原始测试请求稍有不同。(AppScan 首先发送一个合法并遵循应用程序业务逻辑的请求。然后会再发送相似请求,但是经过修改以发现应用程序如何处理非法或错误的请求。每个测试请求可能有多个变体;变体的数量需要足够覆盖扩展 AppScan 数据库中的所有安全规则。)

例如,假设发送一个测试以确保您已对特定参数实施了用户输入规则。一个变体可确保撇号是无效输入;另一个变体确保不允许使用引号。

变体本身以红色文本显示,验证(表示安全问题存在的响应部分)以黄色突出显示。

除了大量的解释信息,请求/响应选项卡还提供高级功能,以理解并使用扫描结果。

请求/响应选项卡具有两个窗格,每个窗格顶部自带工具栏。工具栏和选项卡如下所示,并在下表中进行概括。

工具

功能

Variant < >

表示当前测试的变体数。

单击 < > 图标,以相应切换到上一个和下一个变体。

测试/原始

在“原始”和“测试”信息之间切换。

下一突出显示

(突出显示验证文本时可用)。将光标移动到下一突出显示的文本。

在浏览器中显示

打开内置浏览器以显示当前页面,包含一个用于从浏览器中进行屏幕快照的选项。

浏览器打开时,您可以通过单击浏览器工具栏上的照相机图标 来创建该页面的截屏。此截屏将添加到“问题信息”选项卡。

选项 > 报告误报

用于将当前变体通过电子邮件发送到 AppScan® 支持团队,或在贵企业内部发送。(请参阅报告误报测试结果。)

选项 > 手动测试

修改测试并将其保存为 Manual Test。(请参阅手动测试。)

选项 > 删除变体

从测试结果中永久删除所选变体(不可恢复)。这也可通过右键单击“结果”窗格中的变体来完成。

选项 > 设置为不易受攻击

将所选变体的定义更改为“不易受攻击”。

由用户更改为不易受攻击的肯定响应将从扫描结果中除去,将不再出现在报告中,但仍可通过“不易受攻击的变体”列表查看(和恢复)。(请参阅不易受攻击的变体列表。)

选项 > 设置为错误页面

将当前页面添加到错误页面列表中(“扫描配置”对话框 >“错误页面”),并更新结果以反映此响应是错误页面的事实。

选项 > 添加到问题信息

在当前问题上运行“结果复审”,并将所有可用新信息添加到“问题信息”选项卡。

查找

输入文本以搜索特定字符串。(请参阅过滤结果列表中的安全问题。)

变体详细信息

右侧窗格显示当前变体的详细信息:标识、描述、差异(此变体与原始请求之间的差异)、推理和 CWE 标识。