常見問題

一些常見的問題。

一般

我的掃描為什麼會失敗?

掃描失敗或在檢閱中的可能原因包括:
  • 無效的應用程式檔案
  • 您選取的「測試集」不適用於您的網站/應用程式
  • AppScan 360° 靜態分析 服務無法正常運作或完全無法運作
  • 核心平台和 SAST 服務之間發生連線問題(請參閱 疑難排解 AppScan 360° 靜態分析 部署

很明顯地,如果可以避免這些問題,您的掃描就更能快速自動完成。將 AppScan 360° 掃描併入自動化程序這點特別重要,能夠盡可能縮短掃描時間。

掃描要多久才能完成?

視應用程式大小及複雜性而定,會需要從幾分鐘到更長時間。您可以選擇在掃描完成時接收電子郵件。

AppScan 360° 會測試哪些安全問題?

  • AppDOS
  • 瀏覽器快取機密性資訊
  • 註解顯示機密性資訊
  • 配置問題
  • 跨網站 Scripting (XSS)
  • DB 連線字串操作
  • 電子郵件網路釣魚
  • 電子郵件篡改
  • 需要編碼
  • 公開 Web 服務
  • 檔案篡改
  • 檔案上載
  • 分割 HTTP 要求
  • 分割 HTTP 回應
  • LDAP 注入
  • 開放式重新導向
  • OS 指令注入
  • 路徑遍訪潛在商業邏輯問題(亦涵蓋不安全直接物件參照)
  • 專用權升級
  • RegEx 注入
  • 移除測試碼
  • SecondOrder 注入
  • 機密資料曝光
  • 機密資料儲存在日誌中
  • 機密性資訊顯示在錯誤訊息中
  • 階段作業管理逾時值太大
  • SQL 注入
  • 未加密通訊
  • URL 篡改
  • 使用加密不安全亂數產生器
  • 使用隱藏欄位
  • 使用不安全加密法演算法
  • 使用不安全原生程式碼
  • 低強度存取控制
  • 低強度鑑別
  • XML 注入
  • XPath 注入
  • XSLT 注入

為何我的應用程式風險評級為「不明」?

應用程式的風險評級會根據兩個因素來計算:
  • 找到的問題(由 AppScan 360°
  • 業務衝擊(由使用者指派)
如果尚找不到任何問題,或如果「業務衝擊」為「未指定」(預設值),則「風險評級」將會是「不明」。如果要變更業務衝擊,請參閱風險評級

SAST

何謂靜態分析 IRX 檔案以及它包含什麼內容?

IRX 是一個安全且加密的 zip 保存檔,其中包含執行程式完整靜態分析的必要資訊。在建立後待用及傳輸至雲端期間(透過 SSL)會進行加密。

IRX 保存檔在內部包含這些檔案和構件:

  • 針對可部署的程式構件的專有及模糊呈現,這是從您已部署的原始碼(例如,Java 位元組碼或 .Net MSIL)所建置。如果要瞭解靜態分析掃描支援哪些語言,請參閱 靜態分析的系統需求
  • 所有與程式一同部署的執行時期 Script 檔都可加以分析以找出安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 檔案)。
  • Static Analyzer 配置檔,其中說明應用程式或專案階層以及程式的關係或相依關係。這可在應用程式內跨越專案界限進行精確且完整的安全分析。
  • 在建立保存檔期間所產生的 Static Analyzer 日誌檔(用於診斷和支援)。