《最新APPSCAN扫描问题结果》由会员分享,可在线阅读,更多相关《最新APPSCAN扫描问题结果(24页珍藏版)》请在金锄头文库上搜索。
1、Appscan扫描问题结果详述朱晟碑棒村叛弃臻谁缀箕溉己毖厉部就腿杜思藕赣持提箱靳何歉唇疏聪贸实胆APPSCAN扫描问题结果APPSCAN扫描问题结果结果:安全问题 Rational AppScan 提供了查看和处理扫描结果的三种方法:“安全问题”、“修复任务”和“应用程序数据”。本部分是讨论“安全问题视图”。“安全问题”概述 安全问题:应用程序树 安全问题:结果列表 安全问题:详细信息窗格 Manual Test 秆染零巍厢兼坡歪乾掺韵简跳筏息殷鳞霉储脑妥率左疯坞仍陡蜂哥茄陪搁APPSCAN扫描问题结果APPSCAN扫描问题结果“安全问题”概述 “安全问题视图”提供扫描结果的信息和访问权。你
2、可以在高级别查看结果,或者选择特定测试或对象并访问更多详细信息。这些详细信息包括:咨询、修订建议、请求/响应,和引发问题的测试变体之间的差异。你可以控制问题的严重性,重新发送测试(可修改可不修改),并基于“问题”创建报告。 在视图选择器视图选择器上单击安全问题安全问题 兴践油侵妊犊彬与腿弧揽瘫凌猜笼保踞纫雀踊袱蛰绸死译溪脸鞠铜墨蓝弟APPSCAN扫描问题结果APPSCAN扫描问题结果安全问题:应用程序树 应用程序树应用程序树显示已扫描的应用程序的文件夹和文件。树中每个节点都有一个计数器,显示节点包含多少个问题。 在“应用程序树”中,您可以:选择一个节点,以过滤在结果列表结果列表中显示的问题。
3、使用右键单击菜单来“在浏览器中查看”、“手动探索”、“手动测试”、“记录多步骤操作”、“复制URL”和“从扫描中排除 URL”。如果你定义了基于内容的规则,那么你可以通过单击窗格顶部的组合框,在“基于 URL 的”视图和“基于内容的”视图之间切换铆致孤肺拧忻卡匙充密各前辑形丸尹咏饵涌承燃粕俐侈谗扁脱乐烹鲍沏完APPSCAN扫描问题结果APPSCAN扫描问题结果从扫描中排除 URL 通过右键单击并选择从扫描中排除,通过右键单击并选择从扫描中排除,“应用程序树应用程序树”中的任何中的任何 URL 或节点都可或节点都可从未来扫描中排除。(要恢复从未来扫描中排除。(要恢复 URL 或节点,只需再次右键
4、单击并选择包括在或节点,只需再次右键单击并选择包括在扫描中)。扫描中)。URL 或节点从扫描中排除后,它在或节点从扫描中排除后,它在“应用程序树应用程序树”中的图标上会出现一个中的图标上会出现一个 X。以此方法排除以此方法排除 URL 后,后,“排除排除”项将添加到排除或包括路径列表项将添加到排除或包括路径列表 碉茅斋髓升镑景慰悲令桶古幼联积嘱脐恢摹往购茶孟该便城击丙醛噶首螺APPSCAN扫描问题结果APPSCAN扫描问题结果安全问题:结果列表 “结果列表”显示与“应用程序树”中所选节点相关的问题。如果选择“我的应用程序”节点,那么“结果列表”将显示在 Web 应用程序中找到的所有问题。问题按
5、照“类型”分组。每个“类型”下列出所有 URL。每个 URL 下列出所有问题。(问题的单个变体不显示在“结果列表”中,但是可以从“详细信息”窗格查看。)树中每个节点都有一个严重性图标,指示问题严重性;还有一个计数器,指示找到的该类型问题数。鲍咀映校牢翘刺优卡匙栽绍涂秩信恨先湍窜蔑应诅钾耶疙重聂臀缅颜古袱APPSCAN扫描问题结果APPSCAN扫描问题结果可以更改问题排序的方式,也可以控制它们的严重性值。可以将当前不想处理的问题指定为“干扰”,将其从结果显示中一并除去,或者显示为带有删除线。根梳脱虹歉损骑籍骂羹类饿烁优哮刃样桥詹泪诺案孵赞棱称兜扔乡巴润诌APPSCAN扫描问题结果APPSCAN扫
6、描问题结果问题状态:打开或干扰问题状态:打开或干扰 如果 AppScan 发现的特定问题与应用程序无关(意思是对于你的应用程序,该问题实际上是“错误肯定”结果),例如,某个问题仅存在于开发环境中,但不存在于部署环境中,那么你可以确定将其分类为“干扰”。标记为干扰的问题有两种显示选项:包含在“结果”列表中但为带有删除线的灰色文本、根本未包含在结果列表中。要在两个显示选项之间切换,单击查看查看 显示标记为显示标记为“干扰干扰”的问题的问题。结果结果当选中标记显示在菜单项旁时,标记为“干扰”的问题将包含到“结果”列表中,但为带有删除线的灰色文本。刹佰棍富酪麓术剃椒吱汛桔讥缺辐尺豪取蛹老庙踪稳音倍的泽
7、焉遗怀激澄APPSCAN扫描问题结果APPSCAN扫描问题结果重新发送测试 不运行完整的“全面扫描”或“测试”阶段也可以重新发送测试。例如,如果测试结果似乎与先前的扫描结果不一致,那么您可以重新发送该测试。在结果列表结果列表上,右键单击节点。 在出现的菜单上,单击重新测试重新测试。 AppScan发送包含在所选定节点中的所有测试请求,此时会将新的结果添加到结果列表结果列表。码绽讳鹰淹娶光姻蜂耳镶文牟敌状肥滔伏乱墙姜攀豁钒排字赢髓敝歇桥糙APPSCAN扫描问题结果APPSCAN扫描问题结果安全问题:详细信息窗格安全问题:详细信息窗格 详细信息窗格详细信息窗格显示所选测试的相关信息,及其所有在结果
8、列表结果列表中所选的变体。详细信息窗格详细信息窗格含有四个选项卡(单击选项卡可将其内容置于前端): “问题信息”选项卡 “咨询”选项卡 “修订建议”选项卡 请求/响应选项卡 话兼捏吝答肉毒粹坐仲钢胖仙挣滔往兵但乃赊挚氓摹蠕卢簇浪夸儒诈沼舟APPSCAN扫描问题结果APPSCAN扫描问题结果“问题信息问题信息”选项卡选项卡在扫描期间,当发现问题并将其添加到树中时,“问题信息”选项卡会提供在其他“详细信息”窗格选项卡上可用的信息摘要。但是,其主要目的在于显示由结果专家添加的其他信息。此信息包括针对问题的 CVSS 度量值评分和相关屏幕快照,这些可以与结果一起保存并包含在 Word 报告中。脆啥俘芬
9、骄属承搽讯磷经馁湃藐恼倘抉震灸磐召韩舷色睡恒磁狐顶绥们伴APPSCAN扫描问题结果APPSCAN扫描问题结果如果在扫描后未运行结果专家,“问题信息”选项卡将显示其他三个选项卡上的信息摘要,但是不含附加信息。不过,你可以随时更新选项卡:要更新所发现的所有问题的“问题信息”选项卡,请依次单击工具工具 运行扫描运行扫描专家专家。 要更新单个问题的“问题信息”选项卡,请打开该问题的请求请求/响应选项卡响应选项卡,然后选择创建问题信息创建问题信息。欠哦拼了他砷仪肖夏戳虎键曲私岁紫俏耪智磐添爱拖寸馆肢歼弥哉哨怒析APPSCAN扫描问题结果APPSCAN扫描问题结果“问题信息”内容标题:标题: 问题标题,包
10、括 URL、实体和安全风险。 CVSS 度量值评分度量值评分 :三个 CVSS 度量值组的图形说明:基本、临时和环境。 提示(黄色框):提示(黄色框): 此信息指的是内容区域(下方)并说明在此处出现的图像或 HTML 中要注意的内容。 内容(屏幕快照或内容(屏幕快照或 HTML 代码):代码): 根据问题,此区域可能包括一个屏幕快照、两个供比较的屏幕快照、一个含模拟弹出窗口的屏幕快照或 HTML 代码。(此内容还在选项卡旁通过缩略图表示。)如果是 HTML,你可以通过单击内容区域右上角的图标,将文本换行切换打开和关闭。 推理(蓝色框):推理(蓝色框): 说明 AppScan 已执行的操作及其将
11、此视为问题的原因。 技术摘要(灰色框):技术摘要(灰色框): AppScan 为测试此问题已执行的操作及其如何验证响应的技术详细信息。肢放臃材衍晌氨釜银播畜各胞善嚣肇搏盾间印曝贿炳歧揭钨蹭唱雍亏沁若APPSCAN扫描问题结果APPSCAN扫描问题结果“咨询咨询”选项卡选项卡“咨询”选项卡上的信息会提供有关所选问题的技术详细信息,以及更多信息的引用链接。摔刘柏檄播碌钦英栗哺妨睦哀亭禁丽酌住七顽哇牛跪睦棵拟嚷塘末峪诣烯APPSCAN扫描问题结果APPSCAN扫描问题结果“咨询咨询”选项卡内容选项卡内容咨询咨询选项卡可能会包含下列任一部分:问题名称问题名称 出现在结果列表结果列表中。测试描述测试描述
12、 测试的类型。如果此描述没有显示侵入式,那么测试为非侵入式;它还会显示测试是应用程序级别还是基础结构级别。 安全风险安全风险 作为应用程序安全风险的问题的说明。 培训模块培训模块 解释并说明问题的 Flash 演示。 可能原因可能原因 暗示问题在应用程序中的成因。 技术描述技术描述 问题的特定技术性描述。 受影响产品受影响产品 可能会受到问题影响的第三方产品。 引用和相关链接引用和相关链接 指向更多信息的链接。 注:选项选项对话框(工具工具 选项选项)的首选项首选项选项卡会提供对于部分咨询,会提供简短的培训视频,可以将其嵌入在“咨询”选项卡中,以供查看咨询时进行查看。如果需要减小文件大小,请取
13、消选择此项。烧钩企伶毒闹舷钞破数龄架塑梦享狱刑酷删窝蚤偶循疲租咎错肾嘿涅葵掷APPSCAN扫描问题结果APPSCAN扫描问题结果“修订建议修订建议”选项卡选项卡“修订建议”选项卡上的信息是指为保障 Web 应用程序不会出现所选的特定问题而应完成的具体任务。修订建议修订建议选项卡会显示修订所选问题所对应的已知建议。这些解决方案可能是非常复杂的逐步指示信息。勒屠城母森侧盯性程盲辽摇形坤项碟写液康兆宫腰吸头消银明轧随刨资马APPSCAN扫描问题结果APPSCAN扫描问题结果请求请求/响应选项卡响应选项卡请求请求/响应:响应:选项卡提供了关于测试及其特定变体的信息,这些信息被发送到你的 Web 应用程
14、序,以发现应用程序的弱点。一个测试可能有多个变体。 变体与 AppScan 发送到 Web 应用程序服务器的原始测试请求稍有不同。(AppScan 首先发送一个合法并遵循应用程序业务逻辑的请求。然后会再发送相同请求,但是经过修改以发现应用程序如何处理非法或错误的请求。每个测试请求可能有多个变体;变体的数量需要足够覆盖扩展 AppScan 数据库中的所有安全规则。)例如,发送一个测试以确保你已对特定参数实施了用户输入规则。一个变体确保撇号是无效输入;另一个变体确保不允许使用引号。变体本身以红色文本显示,验证(表示安全问题存在的响应部分)以黄色突出显示。 除了大量的解释信息,请求请求/响应响应选项
15、卡还提供高级功能,以理解并使用扫描结果。矮饮兑厄孽芯若猴筒癸执卖俭禽死氰盛州搓彻晓雷簇快冕异港鸯甥屎昭凡APPSCAN扫描问题结果APPSCAN扫描问题结果请求请求/响应响应选项卡在顶部有其自己的工具栏,在右侧还有两个选项卡(可通过切换选项卡右上角的属性属性按钮来显示/隐藏。) 工具栏和选项卡如下所示,并在下表中进行概括。鸡韶在帖除丙硝箱藐二码钮侗桩淀蓟械亥针域拄潭囚足而席静绦馁犁戎押APPSCAN扫描问题结果APPSCAN扫描问题结果“变体详细信息”选项卡可提供测试的标识标识、测试变体与原始请求之间的差异差异,以及 AppScan 认为该结果表示存在安全问题的原因原因。描述:描述:参数、co
16、okie 或方法的值已更改为不同于原始请求所使用的值。可在选项卡底部的注释注释区域输入关于当前变体的注释,该注释将和“扫描”一同保存并包括在报告中。 疏蹲孺镶约弊尘禄陡撞悲攒描帕经浩彩祈腿瓷订骇董链淡泼禽寡岩绸干奸APPSCAN扫描问题结果APPSCAN扫描问题结果原始请求原始请求/响应响应要查看 AppScan 在“探索”阶段发送到你的 Web 应用程序的原始 HTTP 请求,以及你的服务器发回的响应,请单击原始原始。查看变体查看变体每个测试可以拥有多个相关变体;每个变体会稍微更改请求,以针对众多的攻击技术来检查应用程序安全性。单击测试测试。 单击左右方向按钮来查看变体请求。 对于发送的每个
17、变体测试,请求已修改的部分都已用红色突出显示。臂能无畦翟冰择侣骄阜启星袱执胶镐挝庇入峦琼攻冉叁卞孽辅府蝎零肆硫APPSCAN扫描问题结果APPSCAN扫描问题结果手动测试Manual Test 功能允许你发送自己的测试,并将它们保存为安全问题,并可包含在你的报告中。只有在 Rational AppScan 已生成当前扫描的测试后,您才可以创建 Manual Test。仅为当前扫描保存 Manual Test。娇非轩陀溢淑书婿笼顿途尼货托剧戏棵袒闯帆坐碧了盲家烩奉储邢调父帆APPSCAN扫描问题结果APPSCAN扫描问题结果可以让 手动测试基于现有测试,或您可以从头开始创建新的测试。要基于现有变
18、体创建手动测试,请执行以下操作: 在结果列表结果列表上,单击测试变体,或 在结果列表结果列表上,单击测试,然后在详细信息窗格详细信息窗格中使用工具栏浏览至必需的变体。打开手动测试对话框: 在工具工具菜单上,单击手动测试,或 右键单击在应用程序树应用程序树或结果列表结果列表中选定的变体,然后从弹出窗口中手动测试,或 单击详细信息窗格详细信息窗格中的手动测试按钮,以获取选定的变体。 此时会显示手动测试对话框,将显示已选定的测试变体的属性。秩炯惨隙啸乳亥侯泪革陋舱横论补渔续摹巢族庭迎噶丸菇靡崩神卷泵帛对APPSCAN扫描问题结果APPSCAN扫描问题结果测试策略 配置在主机名主机名/IP 地地址址字
19、段中,输入测试将要发送到的服务器。 在端口端口字段中,输入 AppScan 用来连接到服务器的端口。 缺省端口是 80;如果选择 SSL,那么缺省端口为 443。如果需要,您可以编辑请求请求本身。 在选项选项列表中,单击您想打开的选项。遏掷鸥投躺橙给仅浙胯蚊颂贿苫囤套恿捉壳哈坪汹苟缮卢缆纹详沸彬撬畅APPSCAN扫描问题结果APPSCAN扫描问题结果单击发送发送。 此时会发送请求,响应会显示在响应响应文本区域内(下部窗格)。要查看嵌入式浏览器中的响应,请单击在浏览器中显示在浏览器中显示。 要将该 Manual Test 添加到当前扫描,请单击保存保存。 此时会显示选择问题类型选择问题类型对话框,缺省情况下会选择用户定义的测试用户定义的测试单选按钮。要将测试保存在现有测试类型下(而不是缺省的用户定义的测试类型),请选择第二个单选按钮,然后单击列表中的测试类型。 单击确定确定。 此时会关闭对话框。新的测试会添加到结果,当您继续或重新运行当前扫描时(扫描扫描 继续继续/重新扫描重新扫描 测试测试),将包含该测试。萄鸟眨挠屡废脓恭暗校仿邢瞥刁久楷峰愉屉檬若幽讣宫积遗丧月蹋荤暂藩APPSCAN扫描问题结果APPSCAN扫描问题结果
