入出力トレース
入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。
入出力トレース
汚染されたソースからシンクまたは逸失シンクへのデータをコード分析によって追跡できる場合は、入出力トレース情報が生成されます。トレースの起点は、汚染源のソースからデータを受け取って、そのデータを保護されていないシンクに書き込むことになる一連の呼び出しに渡しているメソッドです。ソースとシンク
- ソース: ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染されているものと見なされます。ソースは、すべての検出結果表の「ソース」列に表示されます。
- シンク: シンクは、データの書き込み先になる、あらゆる外部フォーマットです。シンクの例としては、データベース、ファイル、コンソール出力、ソケットなどがあります。データをチェックせずにシンクに書き込むと、重大なセキュリティー脆弱性となる可能性があります。
- 逸失シンク: 逸失シンクとは、トレースできなくなった API メソッドのことです。