安全報告

「安全報告」提供所發現之安全問題的其他資訊,同時您可以根據您需要的內容類型選擇各式各樣的範本。

執行這項作業的原因和時機

「安全報告」圖示

您所建立的安全報告可以涵蓋整個掃描,或針對應用程式樹狀結構中的特定 URL 或資料夾。

每個報告範本都是一組關聯於組織內不同讀者的內容主題。這些主題包含各個視圖(「安全問題」、「補救作業」、「應用程式資料」)的掃描結果,所用的格式易於列印、閱讀,且有助於快速理解結果的意義、何以相關,以及如何修正。

安全報告選項

下表彙總「安全報告」對話框中的選項。

選項

說明

範本

選取/清除右邊窗格中的勾選框,選取多種報告範本的其中一種或定義您自己的報告,如下表所述。
  • 預設值:包含高階摘要與問題資訊的中階報告,不含變式的詳細資料。
  • 摘要:一份高階摘要,重點是在 Web 應用程式中找到的安全風險,以及用表格和圖表來格式化呈現的掃描結果統計資料。
  • 詳細資料:一份詳盡的報告,包括「摘要」以及安全問題、如何修正的建議、補救作業和應用程式資料。
  • 補救作業: 補救作業:專為了處理在掃描中發現之問題而設計的動作。
  • 開發人員:安全問題、變式、如何修正,不含「摘要」或「補救作業」區段。
  • QA:安全問題、如何修正和應用程式資料,不含詳細變式資訊,或是「摘要」或「補救作業」區段。
  • 網站庫存:只限應用程式資料。
  • 自訂範本:此選項可讓您建立自訂「安全報告」範本,方法是使用勾選框來定義您想要的報告,然後按一下建立為範本。儲存之後,範本可以用來從使用者介面或指令行介面產生報告。
    • 儲存為範本:將現行的「安全報告」配置儲存為自訂範本。
    • 刪除範本:刪除現行的自訂範本。

最低嚴重性

選取將最低嚴重性層次的問題併入報告。

測試類型

選取要在報告中併入哪種類型的測試結果:全部、應用程式、基礎架構,或協力廠商 Web 元件測試。

排序依據

選取依照類型或 URL 來排序問題。

每個問題的變式數目限制

如果這種詳細程度不可能對報告接受者有用處,您可以限制每個問題所列的變式數目來縮減報告長度。

在每一個問題之後加入分頁

這項設定僅適用於 PDF 輸出。讓報告較為清楚易讀。

完成時檢視

如果您選取此勾選框,在報告產生之後,將會在適當的檢視器中開啟報告。
註: 這只在您已安裝可開啟產生之報告的程式時才有作用。

選取任何範本作為基礎之後,您可以選取/取消選取要併入的資訊欄位,來自訂個別報告結構。如果您這樣做,範本名稱會變更為「自訂」。

安全報告區段

下表彙總各種「安全報告」的標準內容。在所有情況中,您都可以依照需要,在「報告內容」窗格中選取/清除勾選框來變更實際內容。
註: 完整的詳細資料報告可能長達數百頁,因此,請務必只併入與您的讀者相關的區段。

報告區段

說明

簡介

提供關於掃描的部分一般資訊的簡短區段,包括發現的整體問題數量(高、中、低和參考資訊)及登入設定等詳細資料。這個區段會內含在所有的報告中。

摘要

一系列的表格,彙總報告中內含的掃描或部分掃描的下列其他資訊:
  • 問題類型(包含針對每一種類型所發現的問題數量,及其嚴重性)
  • 有漏洞的 URL (包括每一個 URL 的問題數量和類型)
  • 修正建議
  • 安全風險
  • 原因
  • WASC 威脅分類

安全問題

在您的應用程式中找到的問題:

  • 基本:如果都未選取下列兩個勾選框,則只會併入基本資訊
  • 其他:包含更詳細的資訊(包括畫面擷取),類似「問題資訊」標籤內容
  • 變式:包含特定的變式資訊:
    • 要求/回應
    • 差異:原始要求和測試要求之間的差異,如「詳細資料窗格」>「要求/回應」標籤中所示

諮詢和修正建議

所發現問題的技術說明,及修正問題的建議。
註: 如果要併入 .NET、Java EE 和 PHP 環境的特定修正建議,請移至「工具 > 選項 > 喜好設定」,然後選取需要的選項。

補救作業

根據發現的問題來改善網站安全的建議作業。一項作業可能會解決多個問題。

應用程式資料

AppScan 在您的 Web 應用程式中發現之資料的清單:應用程式 URL、Script 參數、中斷的鏈結、註解、JavaScript、Cookie 和過濾的 URL。

程序

  1. 選取報告所依據的掃描內容:
    • 如果要建立整個掃描的報告,請按一下工具 > 報告 > 安全報告
    • 如果要針對掃描內含的特定 URL 或資料夾來建立報告,請用滑鼠右鍵按一下應用程式樹狀結構中的節點,然後選取這個節點的報告 > 安全
  2. 在右窗格中選取/清除勾選框,選取相關的範本或定義您自己的報告內容。
  3. 選取需要的選項。
  4. 如果要儲存配置供未來使用,請按一下儲存為範本並且給予範本一個唯一名稱。
  5. 如果要自訂報告的佈置,請按一下「佈置」標籤。如需詳細資料,請參閱配置報告佈置
  6. 選取需要的輸出格式:PDF、HTML、TXT、RTF 或 XML。
  7. 按一下儲存報告