「要求/回應」標籤
「明細窗格」的第二個分頁就是「要求/回應」標籤。
要求/回應標籤提供測試及其特定變式(已傳給您的 Web 應用程式來探索其弱點所在)的相關資訊。一項測試可能會有多個變式。變式是 AppScan 傳送給 Web 應用程式伺服器之原始測試要求的小幅變更。(AppScan 首先是傳送一個意在合法且遵循應用程式商業邏輯的要求。之後,其會傳送為了探索應用程式如何處理不合法或錯誤要求而修改過的類似要求。每個測試要求都可能有許多變式,變式數量必須足以涵蓋廣泛的 AppScan 資料庫中的所有安全規則。)
例如,假設傳送一項測試來檢查您是否強制執行特定參數的使用者輸入規則。有一個變式可能會檢查單引號不是有效的輸入,另一個則用來檢查不允許引號。
紅色文字是變式本身,黃色強調顯示驗證(回應中指出安全問題是否存在的部分)。
除了大量說明資訊,要求/回應標籤也提供有助於理解及使用掃描結果的進階特性。
要求/回應標籤有兩個窗格,其最上方有自己的工具列。以下顯示工具列和標籤,下表加以總結。
|
工具 |
功能 |
|---|---|
|
變式 < > |
指出現行測試的變式數目。 按一下 < 和 > 圖示會分別切換至前一個變式及下一個變式。 |
|
測試/原始 |
切換「原始」和「測試」資訊。 |
|
下一個強調顯示 |
(強調顯示驗證文字之處可用)。將游標移至下一個強調顯示的文字。 |
|
在瀏覽器中顯示 |
開啟內建的瀏覽器來顯示現行頁面,其中含有從瀏覽器擷取畫面的選項。 當瀏覽器開啟時,您可以按一下瀏覽器工具列的相機圖示 |
|
選項 > 報告誤判 |
用來透過電子郵件,將現行變式寄送給 AppScan® 支援團隊,或在企業內部寄送現行變式。請參閱報告誤判測試結果。 |
|
選項 > 手動測試 |
修改測試,並將它儲存成一項手動測試。請參閱手動測試。 |
|
選項 > 儲存要求/回應 |
將所選測試變式的「要求/回應」詳細資料另存為 zip 檔。 |
|
選項 > 設為無漏洞 |
將所選變式的定義改成「無漏洞」。 此選項僅適用於最初被 AppScan 識別為無漏洞的誤判。只有原本標記為無漏洞但稍後更正為有漏洞的變式,才能使用此選項回復為無漏洞。 |
|
選項 > 設為錯誤頁面 |
將現行頁面新增到錯誤頁面清單中(「掃描配置」對話框 > 錯誤頁面),再更新結果來反映這個回應是一個錯誤頁面的事實。 |
|
選項 > 新增至問題資訊 |
執行現行問題的「結果檢閱」,將任何新的可用資訊加到「問題資訊」標籤中。 |
|
尋找 |
輸入要搜尋特定字串的文字。(請參閱「結果清單」中的搜尋和過濾安全問題。) |
|
變式詳細資料 |
右窗格顯示現行變式的詳細資料:ID、說明、差異(這個變式與原始要求之間的差異)、推論與 CWE ID。 |
,以取得頁面的擷取畫面。擷取畫面會新增至「問題資訊」標籤。