修正群組
「修正程式群組」目前僅套用至在「靜態分析掃描」中發現的問題。
修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。一旦您執行「靜態」掃描,AppScan 360° 就會根據漏洞類型和必要的補救作業,將發現的問題組織到「修正程式群組」。在每個新的「靜態」掃描中,新問題會新增至這些群組,並且視需要建立新群組。
- 常見修正點
- 包含具有相同漏洞的問題。整個群組可以透過單一修正(一個程式碼點)進行補救。
- 指令 API
- 包含與相同 API 呼叫相關的問題。如果發現項目無法納入一般修正點群組,一般 API 群組會將根本原因相同的發現項目放在一起。這可在檢閱結果及套用修正程式時,減少環境定義切換。一般而言,每一個受影響的發現項目會有類似的修正程式;相同的修正程式可以套用至群組中的所有問題。
- 常見開放原始碼
- 包含協力廠商程式碼所識別的問題(以問題所在的程式庫為根據)對於應用程式中識別的每一個有漏洞的程式庫,系統會建立修正程式群組。每一個修正程式群組可以有一或多個漏洞,實際情況取決於特定程式庫中找到的漏洞數量。相同修正可以套用至群組中的所有問題。
任何群組中的問題一律會具有相同的漏洞類型。
修正程式群組嚴重性
「修正程式群組嚴重性」是由群組包含的所有問題中,最高的「嚴重性」來決定。
修正程式群組狀態
「修正程式群組狀態」只有在群組中的所有問題都具有相同「狀態」時才會指派。
當變更群組中所有問題的狀態時,您可以選取是否將狀態套用至未來掃描新增至群組的問題。如果狀態不套用至未來的問題,群組的狀態在新增新「問題」時會變更為「混合」。
指導教學
範例
常見修正點修正程式群組
在下列影像中有五個參數(id、name、email、subject、message),最終會將其設為第 194 行 DBUtil.java 中的固定點 new Feedback。雖然 id 是 int,不是跨網站 Scripting 的可攻擊向量,但另外四個是可攻擊的,必須加以補救。
「追蹤」告訴我們有五種不同的症狀存在,並因顯示在不同行的 out.print 呼叫而進入瀏覽器頁面。如果 new Feedback 呼叫將容許的字元加入容許清單,或是針對建構子內的這五個實體資料進行某種消毒/驗證,則系統會解析修正程式群組中的所有發現項目。如果忽略修正程式群組修正點,則需要為每一個發現項目新增四個不同的編碼呼叫。
常見 API 修正程式群組
在這個範例中,有兩個發現項目具有相同的根本原因(輸入字串沒有跳出)。這兩個實例都需要個別解析,不過其修正程式相似。在這個案例中,兩個實例的修正程式相同。
一般開放原始碼修正程式群組
在這個範例中,發現檔案庫有八個不同的漏洞。因此,已建立修正程式群組來顯示此程式庫的所有漏洞,從而加速檢閱與程式庫相關聯的每一個漏洞。
