混合分析的示例
以下是混合分析的一些示例。
在此报告截屏中,DAST 和 SAST 都发现了跨站点脚本编制漏洞。
如果我们查看 DAST 的“关于此问题”报告,问题是在参数“uid”中发现的,所用的方法是移除 ASP.NET_SessionID cookie 并将 '1234"/>alert(1558)</script>'
注入参数“uid”的值中。Appscan 将测试标记为漏洞,因为它已成功嵌入到响应的脚本中,而且一旦页面被装入到用户的浏览器后就会执行。这意味着应用程序易受到以下 URL 上跨站点脚本编制攻击:http://demo.testfire.net/bank/login.aspx。
如果我们查看 SAST 的“关于此问题”报告,代码可发现 C:\WebTest\Default.aspx.cs(http://demo.testfire.net/bank/login.aspx 的源代码页)上存在相同漏洞。
因为 URL、实体和问题类型匹配,所以它被认为是直接相关。