問題詳細資料畫面
問題詳細資料畫面彙總了應用程式中所選取的問題,並以唯一「問題 ID」來識別問題。此畫面提供關於問題的詳細資料,也為 QA 及 Web 開發人員提供諮詢,供他們在補救程序期間使用。根據所選的問題類型,本主題所討論的資訊並不一定都會出現在使用者介面中。
「概觀」標籤
顯示預先定義的問題屬性及其值。
「詳細資料」標籤
「詳細資料」標籤顯示由產生問題之掃描器所探索到的原始掃描發現項目,包括差異和原因。
註:
- 免費試用版本不會在標籤中顯示資訊。只有完整訂閱服務才會顯示內容。
- 對於匯入的問題,不會顯示「詳細資料」標籤。
「測試要求與回應」區段提供了測試及其特定變式(傳給您的 Web 應用程式來探索其弱點所在)的相關資訊。
測試可能有多個變式。變式與掃描工作傳給您的 Web 應用程式伺服器的原始測試要求有些微差異。最初傳送的要求是合法的,而且遵循應用程式的商業邏輯。接著再傳送相同的要求,但加以修改,以便探索您的應用程式如何處理不正確或錯誤的要求。
每個測試要求都可能含有一些變式,變式數量必須足以涵蓋龐大資料庫中的所有安全規則。例如,傳送一項測試來檢查您是否強制執行特定參數的使用者輸入規則。一個變式用來檢查單引號不是有效的輸入;另一個變式用來檢查不接受引號。
程式碼 Snippet 提供 JavaScript 原始碼的靜態分析。發現的問題包括強調顯示有漏洞原始碼的來源層次追蹤資訊。程式碼中的強調顯示行和編號行逐步顯示(從來源到目標)進入應用程式的未受信任資料如何延伸,直到以不安全的方式被使用。
追蹤資訊包含:
- 分類:指出發現項目的類型:安全(明確或可疑)和配置。
- 環境定義:顯示方法在輸出堆疊中的資料流程,包括原始碼中問題和環境定義所在的行號。
- 原始檔:指出工作區專案中含有漏洞的原始檔。
- 行號:指出程式碼中偵測到漏洞的位置。
「諮詢」標籤
註:
- 對於匯入的問題,不會顯示「諮詢」標籤。
「諮詢」包含問題的下列詳細資料:
- 測試類型(「應用程式」或「基礎架構」)
- Web 應用程式安全聯盟 (WASC) 威脅分類
- 組織所面臨的安全風險(最糟的情況)
- 應用程式存在漏洞的可能原因
- 問題的「技術說明」
- 受影響的產品(這個安全問題所影響的產品版本,如 ASP.Net 1.1 Service Pack 1)
- 參照和相關連結,包括 CVE、CWE 及 IBM Security X-Force
「修正建議」標籤
註:
- 對於匯入的問題,不會顯示「修正建議」標籤。
- 不是所有的問題都有修正建議。
「修正建議」向開發人員提供特定開發環境專用的程式碼範例,以便在應用程式原始碼中修正問題:
- 一般
- .Net
- J2EE
- 建議的 Java™ 工具
- 參照