Panneau Détails des problèmes
Le panneau Détails du problème offre un récapitulatif du problème sélectionné dans l'application, identifié par l'ID de problème unique. Il fournit des détails sur le problème ainsi que des conseils aux développeurs du contrôle qualité (QA) et Web à appliquer au cours du processus de résolution. Selon le type de problème sélectionné, toutes les informations présentées dans cette rubrique n'apparaissent pas dans l'interface utilisateur.
Onglet Généralités
Affiche les attributs de problème prédéfinis et leurs valeurs.
Onglet Détails
L'onglet Détails affiche les résultats de l'examen d'origine détectés par le scanner à l'origine du problème, y compris les différences et le raisonnement.
- la version d'essai gratuite n'affiche pas d'informations dans l'onglet. Seul le service d'abonnement complet affiche du contenu.
- L'onglet Détails n'affiche pas les problèmes importés.
La section Demandes de test et Réponses fournit des informations relatives aux tests et à leurs variantes spécifiques transmises à votre application Web afin d'y détecter les points faibles.
Un test peut faire l'objet de différentes variantes. Une variante est une version qui diffère légèrement de la demande de test d'origine et que le travail d'examen dirige sur le serveur de votre application Web. Une première demande est envoyée, celle-ci étant censée être conforme et suivre la logique métier de l'application. La même demande est ensuite envoyée, mais avec des modifications visant à déterminer comment votre application gère les demandes incorrectes ou comportant des erreurs.
Chaque demande de test peut se voir associer un certain nombre de variantes, autant que nécessaire pour couvrir toutes les stratégies de sécurité à tous les niveaux de la base de données. Par exemple, un test est lancé pour vérifier que vous avez bien fait respecter les règles d'entrée utilisateur pour un paramètre spécifique. Une variante vérifie que les apostrophes ne sont pas des entrées valides, tandis qu'une autre vérifie que les guillemets ne sont pas autorisés.
Les extraits de code fournissent une analyse statique du code source JavaScript. Les problèmes détectés comprennent les informations de trace au niveau de la source qui mettent en évidence la vulnérabilité du code source. Les lignes du code numérotées et mises en évidence indiquent, étape par étape, comment sont propagées des données non fiables depuis la source jusqu'au collecteur, jusqu'à leur utilisation non sécurisée.
- Classification : Indique le type de constatation : Sécurité (Définitif ou Suspect) ou Configuration.
- Contexte : Affiche le flux de données pour la méthode dans la pile de sortie, notamment le numéro de la ligne de code source sur laquelle le problème et le contexte apparaissent.
- Fichier source : Indique les fichiers source du projet de l'espace de travail qui contiennent les vulnérabilités.
- Numéro de ligne : Indique à quel endroit du code la vulnérabilité a été détectée.
Onglet Conseils
- L'onglet Conseils n'affiche pas les problèmes importés.
- Type de test (Application ou Infrastructure)
- Classification des menaces par le consortium WASC (Web Application Security Consortium)
- Risques de sécurité ("scénarios-catastrophe") pour votre organisation
- Causes pouvant expliquer la raison pour laquelle votre application est devenue vulnérable
- Description technique du problème
- Produits concernés (versions de produit concernées par ce problème de sécurité, par exemple ASP.Net 1.1 Service Pack 1)
- Références et Liens pertinents, notamment CVE, CWE et IBM Security X-Force
Onglet Recommandation de correction
- L'onglet Recommandation de correction n'affiche pas les problèmes importés.
- Tous les problèmes ne sont pas assortis de recommandations de correction.
- Générales
- .Net
- J2EE
- Outils Java™ recommandés
- Références