问题详细信息面板

问题详细信息面板总结了应用程序中的所选问题,并通过该问题的唯一问题标识予以标识。它提供有关问题的详细信息以及供 QA 和 Web 开发者在其修复过程中使用的建议。根据所选问题的类型,并非该主题中讨论的所有信息都会出现在用户界面中。

“概述”选项卡

显示预定义问题属性及其值。

"详细信息"选项卡

详细信息选项卡显示了扫描程序发现的导致问题的原始扫描结果,包括差异和原因。

注:
  1. 免费试用版本不会在该选项卡中显示信息。只有完整订阅服务才能显示内容。
  2. 已导入的问题不会显示详细信息选项卡。

测试请求响应部分提供有关测试及其特定变体(已发送到 Web 应用程序以发现存在漏洞的位置)的信息。

一个测试可能有多个变体。变体与扫描作业发送到 Web 应用程序服务器的原始测试请求稍有不同。最初发送请求是为了合法并遵循应用程序的业务逻辑。然后会发送相同的请求,但加以修改,以发现应用程序如何处理不正确的请求。

每个测试请求可能有多个变体,变体的数量需要足够覆盖扩展数据库中的所有安全规则。例如,发送一个测试以检查您是否强制执行特定参数的用户输入规则。一个变体用于检查单引号不是有效输入,而另一个变体用于检查不允许使用引号。

代码片段提供 JavaScript 源代码的静态分析。发现的问题包括突出显示易受攻击源代码的源代码级别跟踪信息。代码中突出显示且编号的行从源代码到接收器逐步显示进入应用程序的不可信数据在以不安全方式使用之前如何进行传播。

跟踪信息包括:
  • 分类:指示结果的类型:安全明确可疑)或配置
  • 上下文:显示输出堆栈中方法的数据流,包括源代码中出现了问题和上下文的行号。
  • 源文件:指示工作空间项目中包含漏洞的源文件。
  • 行号:指示代码中检测出漏洞的位置。

“咨询”选项卡

注:
  1. 已导入的问题不会显示咨询选项卡。
咨询包含以下有关问题的详细信息:
  • 测试类型应用程序基础结构
  • Web 应用程序安全协会 (WASC) 威胁分类
  • 组织所面临的安全风险(最坏用例场景)
  • 导致应用程序中存在漏洞的可能原因
  • 问题的技术性描述
  • 受影响的产品(受此安全问题影响的产品版本,例如 ASP.Net 1.1 Service Pack 1)
  • 参考相关链接,包括 CVE、CWE 和 IBM Security X-Force

“修订建议”选项卡

注:
  1. 已导入的问题不会显示修订建议选项卡。
  2. 并非所有问题都具有修订建议。
修订建议为开发者提供特定于某些开发环境的代码样本,从而能够在应用程序源代码中修订问题:
  • 常规
  • .Net
  • J2EE
  • 建议的 Java 工具
  • 首选项