安全性报告

“安全报告”会提供所发现的关于安全问题的信息,而且您可以根据所需的内容类型从各种模板中进行选择。

关于此任务


“安全性报告”图标

您可以创建涵盖整个扫描的安全报告,或者为应用程序树中的特定 URL 或文件夹创建安全报告。

每个报告模板都是一组与组织中不同受众相关的内容主题。主题包含来自每个视图(安全问题、修复任务、应用程序数据)的扫描结果,其格式便于打印,可读性高,有助于快速理解这些结果所代表的涵义,它们相关的原因及其修订方法。

安全性报告选项

下表概括了“安全性报告”对话框中的选项。

选项

描述

模板

通过选中/清空右边窗格中的复选框来选择报告的若干模板之一或定义您自己的报告模板,如下表中所述。
  • 缺省值:包含高级摘要和问题信息的中级报告,但其中不包含变体的详细信息。
  • 摘要:高级别的摘要报告,突出显示在 Web 应用程序中找到的安全风险以及扫描结果统计信息,其格式为表和图表。
  • 详细:详尽的报告,其中不仅包括摘要,还包括安全性问题、咨询信息和修订建议以及补救任务和应用程序数据。
  • 修复任务:修复任务:为处理扫描中所发现的问题而设计的操作。
  • 开发者:安全问题、变体、咨询和修订建议,不需要“摘要”或“修复任务”部分。
  • QA:安全问题、咨询信息和修订建议、应用程序数据,不需要详细变体信息、“摘要”或“修复任务”部分。
  • 站点目录:仅应用程序数据。
  • 定制模板:此选项允许您使用复选框来定义所需的报告,然后单击创建为模板,从而创建定制安全报告模板。保存后,模板可用于从用户界面和命令行界面生成报告。
    • 另存为模板:将当前安全报告配置另存为定制模板。
    • 删除模板:删除当前定制模板。

最低严重性

为要包含在报告中的问题选择最低级别的严重性。

测试类型

选择要在报告中包括哪些类型的测试结果:所有、应用程序、基础结构第三方 Web 组件测试。

按以下项排序

选择是按类型还是按 URL 来对问题进行排序。

限制每个问题的变体数

您可以通过限制每个问题所列出变体的数量来缩短报告的长度,前提是此级别的详细程度对于报告的接收方不大可能有用。

在每个问题后添加分页符

此设置仅适用于 PDF 输出。这可使报告更清楚,以便于阅读。

完成后查看

如果选中此复选框,那么在生成报告后,会在适当的查看器中将其打开。
注: 这仅在您安装了可打开所生成报告的程序的情况下才会有效。

选定任何模板作为基础后,您可以通过选择/取消选择要包含的信息的字段来定制个别报告的结构。如果执行此操作,那么模板名称会更改为“定制”。

安全性报告部分

下表概括了各种安全性报告的标准内容。在所有情况下,都可以根据需要,通过选中/清空“报告内容”窗格中的复选框来更改实际内容。
注: 完整的详细报告可能长达数百页,因此请确保仅包含与读者相关的部分。

报告部分

描述

介绍

提供关于扫描的一些常规信息的简短部分,其中包括诸如所发现问题(高、中、低和参考)的总数以及登录设置之类的详细信息。此部分包含在所有报告中。

摘要

包含在报告中的一系列表格,这些表格概括关于扫描或者扫描的一部分的以下信息:
  • 问题类型(包括所发现每种类型问题的数量及其严重性)
  • 易受攻击的 URL(包括每个 URL 的问题数量和类型)
  • 修订建议
  • 安全性风险
  • 原因
  • WASC 威胁分类

安全问题

在您的应用程序中发现的问题:

  • 基本:如果以下两个复选框都未选中,那么仅包含基本信息
  • 其他:包含更详细的信息(包括屏幕快照),类似于“问题信息”选项卡内容
  • 变体:包含特定变体信息:
    • 请求/响应
    • 差异:原始请求与测试请求之间的差异,如“详细信息窗格 > 请求/响应选项卡”中所示

咨询信息和修订建议

所发现问题的技术说明和修订建议。
注: 要包含特定于 .NET、Java EE 和 PHP 环境的修订建议,请转至“工具 > 选项 > 首选项”,然后选择所需选项。

修复任务

基于所发现问题而建议的用于提高站点安全性的任务。一个任务可能解决多个问题。

应用程序数据

AppScan 已在 Web 应用程序中发现的数据的列表:应用程序 URL、脚本参数、中断链接、注释、JavaScript、cookie 和已过滤的 URL。

过程

  1. 选择报告要基于的扫描内容:
    • 要为整个扫描创建报告,请单击工具 > 报告 > 安全性报告
    • 要为扫描中包含的特定 URL 或文件夹创建报告,请右键单击应用程序树中的相应节点,然后选择此节点的报告 > 安全性
  2. 通过选中/清空右边窗格中的复选框来选择相关模板或定义您自己的报告内容。
  3. 选择所需的选项。
  4. 要保存配置以供将来使用,请单击另存为模板,并为模板指定唯一名称。
  5. 要定制报告的布局,请单击“布局”选项卡。有关详细信息,请参阅 配置报告布局
  6. 选择所需的输出格式:PDF、HTML、TXT、RTF 或 XML。
  7. 单击保存报告