事前定義フィルターAppScan® ソースの使用
AppScan® ソース には、スキャン結果をフィルタリングするために選択できる事前定義フィルター一式が含まれています。このヘルプ・トピックでは、すぐに使用可能なこれらのフィルターについて説明します。
- ! - AppScan 厳選テスト
- ! - 高リスク・ソース
- ! - 重要なタイプ
- CWE Top 25 2021 脆弱性
- 外部通信
- 「低」重大度と「情報」
- ノイズ - 品質 (Noise - Quality)
- OWASP Mobile Top 10 の脆弱性
- OWASP API Top 10 脆弱性
- OWASP Top 10 2017 脆弱性
- OWASP Top 10 2021 脆弱性
- PCI Data Security Standard の脆弱性
- 対象となる脆弱性 - HTTP ソースの EncodingRequired
- 対象となる脆弱性 - C/C++ シンクの Validation Required
- トラステッド・ソース
- トレースを含まない脆弱性 (Vulnerabilities with no trace)
! - AppScan® 厳選テスト
このフィルターは、最も危険な脆弱性カテゴリーの一部からの検出結果と一致します。結果は、「高」および「中」重大度の脆弱性に限定されます。特定のソースによる結果は、検出結果から削除されます。このフィルターに含まれる具体的な脆弱性カテゴリーは、以下のとおりです。
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection.OS
Vulnerability.Injection.LDAP
Vulnerability.Injection.SQL
Vulnerability.Injection.Mail
! - 高リスク・ソース
このフィルターによって、検索結果が、以下のいずれかのプロパティーを持つ特定の脆弱性タイプおよびソースに制限されます。
Technology.Communications.HTTP
Technology.Communications.IP
Technology.Communications.RCP
Technology.Communications.TCP
Technology.Communications.UDP
Technology.Communications.WebService
! - 重要なタイプ
このフィルターでは、より広範囲の重要な脆弱性カテゴリーから取得した検出結果が含められます。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。このフィルターに含まれる具体的なカテゴリーは、以下のとおりです。
Vulnerability.AppDOS
Vulnerability.Authentication.Credentials.Unprotected
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.BufferOverflow.ArrayIndexOutOfBounds
Vulnerability.BufferOverflow.BufferSizeOutOfBounds
Vulnerability.BufferOverflow.IntegerOverflow
Vulnerability.BufferOverflow.Internal
Vulnerability.CrossSiteRequestForgery
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.FileUpload
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.OS
Vulnerability.Injection.SQL
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
Vulnerability.Malicious.EasterEgg
Vulnerability.Malicious.Trigger
Vulnerability.Malicious.Trojan
Vulnerability.PathTraversal
Vulnerability.Validation.EncodingRequired
Vulnerability.Validation.EncodingRequired.Struts
CWE Top 25 2021 脆弱性
このフィルターは、2021 年の「CWE 最も危険なソフトウェア・エラー TOP 25」に関連する脆弱性タイプを対象としています。
「2021 CWE 最も危険なソフトウェア・エラー TOP 25」について詳しくは、https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html を参照してください。
外部通信
このフィルターは、アプリケーション外部や、ネットワークから得られる検出結果を一致させます。このフィルターは、Technology.Communications
ソースに起因する検出結果を一致させます。
「低」重大度と「情報」
このフィルターでは、重大度が「低」で「情報」の検出結果が含められます。すべての分類 (確定、要確認、スキャン範囲) が含まれます。
ノイズ - 品質 (Noise - Quality)
このフィルターでは、品質のコーディング手法に関連する脆弱性タイプのみが結果に含められます。
OWASP Mobile Top 10 の脆弱性
このフィルターは、「Open Web Application Security Project (OWASP) Mobile Top 10 Release Candidate v1.0」リストに関連する脆弱性タイプを対象としています。
OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。
OWASP API Top 10 脆弱性
このフィルターは、「Open Web Application Security Project (OWASP) API Top 10」リストに関連する脆弱性タイプを対象としています。
OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。
OWASP Top 10 2017 脆弱性
このフィルターは、「Open Web Application Security Project (OWASP) Top 10 2017」リストに関連する脆弱性タイプを対象としています。
OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。
OWASP Top 10 2019 脆弱性
このフィルターは、「Open Web Application Security Project (OWASP) Top 10 2019」リストに関連する脆弱性タイプを対象としています。
OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。
OWASP Top 10 2021 脆弱性
このフィルターは、「Open Web Application Security Project (OWASP) Top 10 2021」リストに関連する脆弱性タイプを対象としています。
OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。
PCI Data Security Standard の脆弱性
このフィルターは、クレジット・カード業界データ・セキュリティー基準 (PCI DSS) バージョン 3.2 の規格に関連する脆弱性タイプを対象としています。
詳しくは、https://www.pcisecuritystandards.org/security_standards/index.phpを参照してください。
スキャン範囲検出結果
このフィルターを適用すると、結果に、スキャン範囲検出結果のみが含まれます (詳しくは、分類を参照してください)。
対象となる脆弱性 - HTTP ソースの EncodingRequired
このフィルターは Validation.EncodingRequired
と Validation.EncodingRequired.Struts
の脆弱性カテゴリーからの検出結果を対象としています。Technology.Communications.HTTP
ソースから得られる検出結果のみが含まれます。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。
対象となる脆弱性 - C/C++ シンクの Validation Required
このフィルターは、既知の C および C++ シンクのセットの Validation.Required
脆弱性を対象としています。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。
トラステッド・ソース
このフィルターでは、セッション・オブジェクトや要求属性など、特定のソースからのデータは安全であると仮定します。
トレースを含まない脆弱性 (Vulnerabilities with no trace)
このフィルターは、トレースを含まない脆弱性をリストします。