“关于该问题”报告

关于该问题对话框概括应用程序中的所选问题,并通过该问题的唯一“问题标识”予以标识。它提供有关问题的详细信息,以及供 QA 和 Web 开发者在其修复过程中使用的方法的信息。根据所选问题的类型,并非该主题中讨论的所有信息都会出现在用户界面中。

修复方法

“修复方法”中包含有关问题的以下详细信息:
  • 问题的语言文章(JAVA、PHP 和 .NET 等)。
  • 测试类型(应用程序或基础结构)
  • 导致应用程序中存在漏洞的可能原因
  • 组织所面临的风险(最坏用例场景)
  • 受影响的产品(受此安全问题影响的产品版本,例如 ASP.Net 1.1 Service Pack 1)。
  • 问题利用示例。

修订建议

“修订建议”为开发者提供特定于某些开发环境的代码样本,从而能够在应用程序源代码中修订问题:
  • 建议的 Java 工具
  • 引用

包括 CWE

  • 问题的相关文章
  • 问题的外部参考信息

代码片段

“代码片段”提供对 JavaScript 源代码的静态分析;发现的问题包括突出显示了易受攻击的源代码的源代码级别跟踪信息。代码中突出显示且编号的行从源代码到接收器逐步显示进入应用程序的不可信数据在以不安全方式使用之前如何进行传播。

跟踪

关于已导入的 AppScan® Source 漏洞的跟踪信息包括:
  • 分类:指示发现结果的类型:安全(明确或可疑)或配置。
  • 上下文:显示输出堆栈中方法的数据流,包括源代码中出现了问题和上下文的行号。
  • 源文件:指示工作空间项目中包含漏洞的源文件。
  • 行号:指示代码中检测出漏洞的位置。

测试请求和响应

“测试请求和响应”提供有关测试及其特定变体(已发送到 Web 应用程序以发现存在漏洞的位置)的信息。一个测试可能有多个变体。变体与扫描作业发送到 Web 应用程序服务器的原始测试请求稍有不同。最初发送请求是为了合法并遵循应用程序的业务逻辑。然后会发送相同的请求,但加以修改,以发现应用程序如何处理不正确的请求。每个测试请求可能有多个变体,变体的数量需要足够覆盖扩展数据库中的所有安全规则。例如,发送一个测试以检查您是否强制执行特定参数的用户输入规则。一个变体用于检查单引号不是有效输入;另一个变体用于检查不允许使用引号。

注:
  • “关于该问题”页面不显示已修订的变体;仅显示还没有修订的变体。
  • 在先前版本中,显示了原始测试流量。从 V9.0.2.1 开始,在 XML 导出中仅显示并包含测试流量。