「この問題の情報」レポート
「この問題の情報」ダイアログは、アプリケーション内で選択された問題を要約したものであり、問題固有の問題 ID によって識別されます。このレポートは、問題の詳細を示すとともに、QA および Web 開発者が問題の修復プロセス時に使用する修正方法を提供します。選択された問題のタイプによっては、このトピックで説明しているすべての情報がユーザー・インターフェースに表示されない場合があります。
修正方法
- 問題の言語記事 (JAVA、PHP、.NET など)。
- テストのタイプ (アプリケーションまたはインフラストラクチャー)
- アプリケーションに脆弱性が存在するようになった原因として考えられるもの。
- 組織に対するリスク (最悪の事態)。
- 影響を受ける製品 (ASP.Net 1.1 Service Pack 1 など、このセキュリティー問題の影響を受ける製品バージョン)。
- 問題の悪用例。
推奨される修正
- 推奨 Java™ ツール
- 参照
CWE の組み込み
- 問題の関連記事
- 問題の外部参照
コード・スニペット
「コード・スニペット」には、JavaScript ソース・コードの静的分析が表示されます。検出される問題にはソース・レベルのトレース情報が含まれ、脆弱性のあるソース・コードが強調表示されています。コード内で番号が付けられて強調表示されている行は、アプリケーションに入力された信頼できないデータがどのように伝搬されて非セキュアな方法で使用されるかを、ソースからシンクまで、ステップバイステップで示しています。
Trace (トレース)
- 分類: 検出結果のタイプが含まれます: セキュリティー (「確定」または「要確認」) または構成。
- コンテキスト: 出力スタック内のメソッドのデータ・フローが表示されます。ソース・コード内で問題およびコンテキストが出現する行番号などが示されます。
- ソース・ファイル: 脆弱性を含む、ワークスペース・プロジェクトのソース・ファイルを示します。
- 行番号: コード内のどこに脆弱性が検出されたかを示します。
テスト要求と応答
「テスト要求と応答」には、テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。テストには複数のバリアントがある場合があります。バリアントは、スキャン・ジョブが Web アプリケーション・サーバーに送信するオリジナル・テスト要求とのわずかな差異です。最初に送信される要求は、有効となり、アプリケーションのビジネス・ロジックをたどるようになっています。その後、同じ要求が送信されますが、この要求は、アプリケーションが不適切な要求や間違った要求をどのように処理するかが分かるように変更されています。各テスト要求には多数のバリアント、すなわち、大規模データベースのすべてのセキュリティー・ルールをカバーするのに必要な数のバリアントがあると考えられます。例えば、特定のパラメーターに関するユーザー入力ルールが実施されていることを検査するテストが送信されます。あるバリアントは、アポストロフィが有効な入力でないことを検査し、別のバリアントは引用符が許可されていないことを検査します。
- 「この問題の情報」ページには、修正されたバリアントは表示されません。このページには、修正されなかったバリアントのみが表示されます。
- 前のバージョンでは、元のトラフィックとテスト・トラフィックが表示されていました。v9.0.2.1 以降は、テスト・トラフィックのみが表示され、XML エクスポートに組み込まれます。