混合式分析範例

以下是混合式分析的部分範例。

在此報告畫面擷取中,DAST 和 SAST 兩者都發現了「跨網站 Scripting」漏洞。



如果我們查看 DAST 的「關於此問題」報告,就會知道這個問題是在 'uid' 參數中發現的,問題症狀是 ASP.NET_SessionID cookie 被移除,然後在 'uid' 參數的值中注入了 '1234"/>alert(1558)</script>'。因為 Appscan 已成功地將 Script 嵌入回應,並且一旦頁面載入至使用者瀏覽器後將執行,所以將此測試標示為易受攻擊。這表示位於下列 URL 的應用程式易受到「跨網站 Scripting」的攻擊:http://demo.testfire.net/bank/login.aspx.

如果我們查看 SAST 的「關於此問題」報告,會發現程式碼掃描在 C:\WebTest\Default.aspx.cshttp://demo.testfire.net/bank/login.aspx 的原始碼頁面)發現了相同的漏洞。

因為 URL、實體和問題類型均相符,所以被視為直接相關。