“请求/响应”选项卡
“详细信息”窗格的第二个选项卡是“请求/响应”选项卡。
请求/响应选项卡提供了关于测试及其特定变体的信息,这些信息被发送到您的 Web 应用程序,以发现应用程序的弱点。一个测试可能有多个变体。变体与 AppScan 发送到 Web 应用程序服务器的原始测试请求稍有不同。(AppScan 首先发送一个合法并遵循应用程序业务逻辑的请求。然后会再发送相似请求,但是经过修改以发现应用程序如何处理非法或错误的请求。每个测试请求可能有多个变体;变体的数量需要足够覆盖扩展 AppScan 数据库中的所有安全规则。)
例如,假设发送一个测试以确保您已对特定参数实施了用户输入规则。一个变体可确保撇号是无效输入;另一个变体确保不允许使用引号。
变体本身以红色文本显示,验证(表示安全问题存在的响应部分)以黄色突出显示。
除了大量的解释信息,请求/响应选项卡还提供高级功能,以理解并使用扫描结果。
请求/响应选项卡具有两个窗格,每个窗格顶部自带工具栏。工具栏和选项卡如下所示,并在下表中进行概括。
|
工具 |
功能 |
|---|---|
|
Variant < > |
表示当前测试的变体数。 单击 < 和 > 图标,以相应切换到上一个和下一个变体。 |
|
测试/原始 |
在“原始”和“测试”信息之间切换。 |
|
下一突出显示 |
(突出显示验证文本时可用)。将光标移动到下一突出显示的文本。 |
|
在浏览器中显示 |
打开内置浏览器以显示当前页面,包含一个用于从浏览器中进行屏幕快照的选项。 浏览器打开时,您可以通过单击浏览器工具栏上的照相机图标 |
|
选项 > 报告误报 |
用于将当前变体通过电子邮件发送到 AppScan® 支持团队,或在贵企业内部发送。请参阅报告误报测试结果。 |
|
选项 > 手动测试 |
修改测试并将其保存为 Manual Test。请参阅手动测试。 |
|
选项 > 保存请求/响应 |
将选定测试变体的请求/响应详细信息保存到 zip 文件。 |
|
选项 > 设置为不易受攻击 |
将所选变体的定义更改为“不易受攻击”。 此选项仅适用于由 AppScan 最初标识为“不易受攻击”的假阳性。只有最初标记为“不易受攻击”但后来更正为“易受攻击”的变体,才能使用此选项恢复成不易受攻击的问题。 |
|
选项 > 设置为错误页面 |
将当前页面添加到错误页面列表中(“扫描配置”对话框 >“错误页面”),并更新结果以反映此响应是错误页面的事实。 |
|
选项 > 添加到问题信息 |
在当前问题上运行“结果复审”,并将所有可用新信息添加到“问题信息”选项卡。 |
|
查找 |
输入文本以搜索特定字符串。(请参阅在结果列表中搜索和过滤安全性问题。) |
|
变体详细信息 |
右侧窗格显示当前变体的详细信息:标识、描述、差异(此变体与原始请求之间的差异)、原因和 CWE 标识。 |
来创建该页面的截屏。此截屏将添加到“问题信息”选项卡。