AppScan® Source 追蹤

當使用 AppScan® Source 追蹤時,您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目,將方法標示為驗證常式和編碼常式、來源或接收槽、回呼,或污染傳播者。

AppScan® Source 會在應用程式中,跨越多個模組和語言來追蹤資料流程。它在呼叫圖中顯示可能有危險的資料路徑,指出應用程式容易出現漏洞的區域。

追蹤可協助您在應用程式中,找出欠缺經過認可的輸入驗證常式及編碼常式之處,以打敗 SQL 注入攻擊、跨網站 Scripting 攻擊,以及其他輸入驗證攻擊。您以互動方式來追蹤整個呼叫圖,在「追蹤」視圖中直接按一下,在您選擇的開發環境或程式碼編輯器中查看來源。追蹤也能夠強制執行原則,可讓您識別適當的輸入驗證及編碼所需要的已核准常式、污染的傳播,或接收槽和來源,將它們併入未來的掃描中。

當掃描產生追蹤時,您可以從「追蹤」視圖中,建立特定發現項目的輸入驗證常式或編碼常式、漏洞、接收槽、來源,或污染傳播者。比方說,如果您在 AppScan® Source for Analysis 中將某個常式標示為驗證常式,並將其新增到 AppScan® Source Security Knowledgebase,後續的掃描在呼叫常式的資料路徑上,不會再報告 Validation.RequiredValidation.Encoding.Required 發現項目。在「追蹤」視圖中,您也可以將漏洞定義為來源和/或接收槽,將某個方法識別為污染傳播者、污染的回呼,或不容易遭到污染。