「問題の詳細」パネル

問題の詳細」パネルは、アプリケーション内の選択された問題を要約したものであり、問題固有の問題 ID によって識別されます。このレポートは、問題の詳細を示すとともに、QA および Web 開発者が問題の修復プロセス時に使用するアドバイザリーを提供します。選択された問題のタイプによっては、このトピックで説明しているすべての情報がユーザー・インターフェースに表示されない場合があります。

「概要」タブ

事前定義された問題属性およびその値を表示します。

「詳細」タブ

「詳細」タブには、問題を提示したスキャナーによって検出された元のスキャン検出結果 (差異と論拠を含む) が表示されます。

注:
  1. 無料の試用版では、このタブに情報が表示されません。フル・サブスクリプション・サービスでのみコンテンツが表示されます。
  2. インポートされた問題には、「詳細」タブが表示されません。

「テスト要求」「応答」セクションには、テストに関する情報とテストに固有のバリアントが示されます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを検出するためにアプリケーションに送信されたものです。

テストには複数のバリアントがある場合があります。バリアントとは、スキャン・ジョブが Web アプリケーション・サーバーに送信する、元のテスト要求とのわずかな差異のことです。最初に送信される要求は、有効となり、アプリケーションのビジネス・ロジックをたどるようになっています。その後、同じ要求が送信されますが、この要求は、アプリケーションが不適切な要求や間違った要求をどのように処理するかが分かるように変更されています。

各テスト要求には多数のバリアント、すなわち、大規模データベース内のすべてのセキュリティー・ルールを網羅するのに必要な数のバリアントがあると考えられます。例えば、特定のパラメーターに関するユーザー入力ルールが実施されていることを検査するテストが送信されます。あるバリアントでは、アポストロフィが有効な入力でないことを検査するのに対して、別のバリアントでは、引用符が許可されていないことを検査します。

「コード・スニペット」では、JavaScript ソース・コードの静的分析を提供します。検出された問題には、脆弱性のあるソース・コードを強調表示する、ソース・レベルのトレース情報が追加されます。コード内で番号が付けられて強調表示されている行は、アプリケーションに入力された信頼できないデータがどのように伝搬されて非セキュアな方法で使用されるかを、ソースからシンクまで、ステップバイステップで示しています。

トレース情報には、以下が含まれます。
  • 分類: 検出結果のタイプ: セキュリティー (「確定」または「要確認」) または構成
  • コンテキスト: 出力スタック内のメソッドのデータ・フローが表示されます。ソース・コード内で問題やコンテキストが出現する行番号などが示されます。
  • ソース・ファイル: 脆弱性を含む、ワークスペース・プロジェクトのソース・ファイルを示します。
  • 行番号: コード内のどこで脆弱性が検出されたかを示します。

「アドバイザリー」 タブ

注:
  1. インポートされた問題には、「アドバイザリー」タブが表示されません。
「アドバイザリー」には、問題に関する以下の詳細が表示されます。
  • テストのタイプ (「アプリケーション」または「インフラストラクチャー」)
  • Web アプリケーション・セキュリティー・コンソーシアム (WASC) 脅威の分類
  • 組織に対するセキュリティー・リスク (最悪の事態)
  • アプリケーションに脆弱性が存在するようになった原因として考えられるもの
  • 問題の技術的説明
  • 影響を受ける製品 (ASP.Net 1.1 Service Pack 1 など、このセキュリティー問題の影響を受ける製品バージョン)
  • 参考資料関連リンク (CVE、CWE、IBM セキュリティー X-Force など)

「推奨される修正」タブ

注:
  1. インポートされた問題には、「推奨される修正」タブが表示されません。
  2. 問題によっては、推奨される修正がないものもあります。
「推奨される修正」では、いくつかの開発環境に固有のサンプル・コードが開発者に提供されるので、問題をアプリケーション・ソース・コードで修正できます。
  • 標準
  • .Net
  • J2EE
  • 推奨 Java ツール
  • 参考資料