III.4 Phát sinhbảo mật: Cách nhìn chi tiết

Một phần của tài liệu Hướng dẫn sử dụng rational appscan (Trang 76 - 85)

II I KẾT QUẢ: PHÁT SINHBẢO MẬT

III.4 Phát sinhbảo mật: Cách nhìn chi tiết

Khung chi tiết chi ra mỗi tương quan thông tin đối kiểm tra được chọn và toàn bộ các biến thể, chọn trong danh sách liệt kê

Khung chi tiết có 4 thẻ - Thông tin phát sinh

- Tư vấn

- Khuyến nghị khắc phục

- Yêu cầu/ phản hồi

Nếu kết quả chuyên gia đã không chạy theo các quét, thẻ thông tin phát sinh hiển thị tổng quát thông tin về ba thẻ khác, nhưng không có thông tin thêm. Tuy nhiên, bạn có thể cập nhật các tab bất kỳ lúc nào:

- Để cập nhật thẻ thông tin phát sinh kích vào Tools > Run Scan Expert

- Để cập nhật thẻ thông tin phát sinh cho 1 phát sinh, mở Request/ Response cho phát sinh đó và chọn Create Issue Information.

Khu vực Mô tả

Header Đầu mục phát sinh bao gồm URL và Entity và Security

Risk

CVSS Metric scoring Đồ thị biểu diễn của ba CVSS nhóm (của) độ đo: Base(Cơ sở), Temporal(tạm thời) và Environmental(môi trường)

Tip(hộp vàng) Thông tin tham chiếu tới chỉ khu vực nội dung (bên

dưới) và giải thích những gì để tìm ra cho trong hình ảnh (s) hoặc HTML mà xuất hiện ở đó

Nội dung (screen shot(s) or HTML code)

Tùy thuộc vào phát sinh, khu vực này có thể bao gồm một ảnh chụp màn hình, hai ảnh chụp màn hình để so sánh, bắn một màn hình mô phỏng với một cửa sổ pop- up, mã HTML hoặc. (Nội dung này cũng được đại diện ở mặt bên của tab bằng cách thu nhỏ một.) Trong trường hợp của HTML, bạn có thể chuyển đổi gói văn bản trên và tắt bằng cách nhấn vào biểu tượng trên bên phải của khu vực nội dung.

Lý luận Giải thích những gì Rational AppScan ® đã làm, và tại

sao nó nghĩ rằng đây là một vấn đề.

Tóm tắt kỹ thuật Các kỹ thuật chi tiết của những gì Rational AppScan đã

để kiểm tra phát sinhnày, và làm thế nào nó xác nhận các phản hồi.

Các hình ảnh thu nhỏ ở phía bên phải của tab Thông tin phát sinh đại diện cho ảnh chụp màn hình liên quan hoặc hình ảnh khác mà nằm trong tab thông tin phát sinh, sẽ được lưu lại với kết quả quét

- Có thể thêm 1 ảnh bằng việc kick vào hiểu tượng và duyệt tới ảnh muốn thêm.

- Có thể thêm các bình luận cho mỗi ảnhvà thêm vào hoặc loại trừ hình ảnh báo cáo, bằng việc kích lên hình đại diện để mở hộp thoại Image Information, có thể chọn hoặc không chọn hộp kiểm include Image in Report

- Có thể xóa lựa chọn hiện tại từ kết quả quét sử dụng menu chuột phải.

a)Cấu hình CVSS

Có thể tinh chỉnh các mức độ nghiêm trọng cho một phát sinh cụ thể dựa trên số liệu CVSS. Điều này được thực hiện từ thanh toolbar Issue Information, bằng cách nhấp vào

SeverityCVSS Settings.

Từ cửa sổ CVSS, nhấp chuột vào tên của một trong ba phần sẽ mở phần cấu hình. Có thể khôi phục lại các thiết lập mặc định

Cơ sở số liệu

Đây là những số liệu của lỗ hổng này được liên tục theo thời gian và trên môi trường người dùng.

Số liệu Giải thích Lựa chọn

Access Vector Dù lỗ hổng có thể khai thác chỉ có tại địa

phương, cũng từ các mạng lân cận, hoặc từ bất kỳ kết nối mạng ("từ xa khai thác").

Local, Adjacent Network, Network

Access Complexity Các khó khăn liên quan đến việc khai thác lỗ hổng này

High, Medium, Low

Authentication Số lần một kẻ tấn công phải xác thực để

khai thác lỗ hổng

None, Single, Multiple

Confidentiality

Impact Các tác động về bảo mật nếu bị lỗ hổng này được khai thác thành công. None, Partial, Complete

Integrity Impact Quy mô mà hệ thống toàn vẹn (tính chính xác của thông tin cung cấp bởi ứng

Số liệu tạm thời

Đây là những số liệu của lỗ hổng có thể thay đổi theo thời gian

Số liệu Giải thích Lựa chọn

Exploitability Các trạng thái hiện tại của kỹ thuật khai

thác sử dụng lỗ hổng này.

Unproven, Proof-of-Concept, Functional, High, Not Defined

Remediation Level Mức độ khắc phục có sẵn để bảo vệ chống lại lỗ hổng

Official Fix, Temporary Fix, Workaround, Unavailable, Not Defined

Report Confidence Mức độ tin tưởng vào sự tồn tại và chi

tiết kỹ thuật của lỗ hổng

Unconfirmed, Uncorroborated, Confirmed, Not Defined

Số liệu về môi trường

Các số liệu này phản ánh các môi trường ứng dụng, và nên được thiết lập bằng cách sử dụng hộp thoại Configuration> Thẻ Environment Metrics tab. Thay đổi chúng ở đây chỉ khi lỗ hổng này là cụ thể cho một phần của môi trường ứng dụng mà có những đặc trưng khác nhau.

Số liệu Giải thích Lựa chọn

Collateral Damage Potential

Khả năng bị phá hoại hay trộm cắp nếu ứng dụng có lỗ hổng

None, Low, Low-Medium, Medium, Medium-High, High, Not Defined

Target Distribution Tỷ trọng của các hệ thống trong môi trường đó là mục tiêu tiềm năng.

None, Low, Medium, High, Not Defined

Availability Requirement

Tầm quan trọng tương đối của giá trị (thông tin)

None, Low, Medium, High, Not Defined

Confidentiality Requirement

Tầm quan trọng tương đối của các độ tin cậy (của người sử dụng thông tin)

None, Low, Medium, High, Not Defined

Integrity Requirement

Tầm quan trọng tương đối của tính toàn vẹn (chính xác) của thông tin

None, Low, Medium, High, Not Defined

Khôi phục lại thiết lập CVSS trên thanh công cụ thông tin phát sinh kich chuột vào Severity > CVSS setting và trong thiết lập CVSS mở ra.

III.4.2. Thẻ Advisory

Bao gồm các thành phần sau

Test Name : xuất hiện trong Result List. Thông tin có thể giúp bạn tìm tư vấn tương tự

Test Description: kiểu kiểm tra. Nếu mô tả này không thể hiện invasive, kiểm tra là non- invasive; nó chỉ có hay không ra mức áp dụng hoặc cấp độ cơ sở hạ tầng

WASC Threat Classification: Internet liên kết đến trang của các Web Application Security Consortium mô tả lớp này bị đe dọa

CVE Reference: (Nếu có) các chuẩn công nghiệp số (s) cho loại thử nghiệm. (Để biết chi tiết về cách thức hỗ trợ AppScan CVE, xem hỗ trợ CVE.)

Security Risk: Giải thích về phát sinh này như là một nguy cơ bảo mật ứng dụng

Training Risk: Adobe ® Flash trình bày giải thích và chứng minh phát sinh.

Possible Causes: cho thấy làm thế nào phát sinh đã tồn tại trong ứng dụng

Technical Description: Mô tả kỹ thuật cụ thể của phát sinh

Affected Products: Sản phẩm thứ ba của Đảng có thể bị ảnh hưởng bởi phát sinhnày.

References and Relevant Links: linh tới nhiều thông tin

CVE support

• Liệt kê tất cả các kiếm tra mà có 1 CVE reference bằng cách tìm kiếm các chuỗi CVE hoặc CAN trong Test Policy Manager (quản lý chính sách)(see Test: Test Policy)

• Tìm kiếm CVE đặc thù bằng cách tìm kiếm số tham chiếu trong Test Policy Manager (see Test: Test Policy)

• Hiển thị CVE reference của 1 kết quả quét trong advisory

• Bao gồm CVE reference (như 1 phần của advisory) trong các báo cáo chung

III.4.3 Thẻ Fix Recommendation

Thông tin trong thẻ Fix Recommendations là các nhiệm vụ chính xác cần làm để bảo mật ứng dụng chống lại phát sinh đưa ra

Thẻ Fix Recommendations hiện các khuyến nghị để khắc phục phát sinh này. Nhưng giải pháp này liên quan đến.

General – luôn luôn chọn

.Net - Microsoft© .NET

J2EE - Sun© Java™ 2 Platform, Enterprise Edition

Lưu ý: Có thể thiết lập để ẩn thẻ Fix Recommendations. See Preferences tab for details

III.4.4. Thẻ Request/Response

Bên cạnh đó một số lượng lớn thông tin , Request/Response cung cấp tính năng tiên tiến để hiểu và sử dụng kết quả của một lần quét.

Các Request/Response có thanh công cụ riêng của mình ở bên trên:

Công cụ Chức năng

Show in Browser Mở trình duyệt để hiển thị các trang hiện tại.

Report False Positive Dùng để gửi email biến thể hiện tại cho đội ngũ hỗ trợ IBM

Rational AppScan ® Support, hoặc trong doanh nghiệp của bạn.

Delete Variant

Xóa vĩnh viễn các biến thể lựa chọn từ các kết quả kiểm tra (không thể đảo ngược). Điều này cũng có thể được thực hiện bằng cách kích chuột phải vào các biến thể trong cửa sổ kết quả.

Set as Non-vulnerable Thay đổi định nghĩa của biến thể được chọn thành không xâm

nhập được.

Set as Error Page Thêm trang hiện tại vào danh sách các trang lỗi (hộp thoại Scan

Configuration> Error Page) và cập nhật các kết quả phản ánh một thực tế là phản hồi này là một trang lỗi

Create Issue Information Cho cái nhìn tổng quan về phát sinh hiện tại, và thêm thông tin

mới vào trong thẻ Issue Information.

Variant < > Chỉ ra số lượng biến thể của quét hiện tại.

Nhấp vào biểu tượng <và> Toggles cho các phiên bản trước đó và tiếp theo tương ứng.

Test/Original Điểm mấu chốt giữa thông tin gốc và thông tin kiểm tra.

Next Highlight (đánh dấu văn bản xác nhận có sẵn). di chuyển con trỏ tới các

đoạn text đánh dấu tiếp theo.

Find

Dạng text để tìm kiếm

Variant Details tab Cung cấp ID để kiểm tra, Sự khác biệt giữa các biến thể kiểm tra

và yêu cầu ban đầu, và suy luận đằng sau quyết định của AppScan biết kết quả cho thấy đây là phát sinh bảo mật.

Khu vực Bình luận ở phía dưới của tab cho phép nhập vào ý kiến riêng của bạn về các biến thể và đưa vào báo cáo.

Screenshot tab Có nút Camera . Click nút Camera để mở trình duyệt và lưu ảnh

chụp màn hình của trang hiện hành sẽ được lưu với các quét và đưa vào báo cáo

a)Original Request/Response

Để xem các yêu cầu HTTP gốc Rational AppScan ® gửi đến ứng dụng web trong giai đoạn Explore, và phản ứng của máy chủ của bạn gửi lại, hãy nhấp vào Original

b)Hiển thị các biến thể

Mỗi lần kiểm tra có nhiều biến thể khác nhau, mỗi biến thể thay đổi 1 yeu cầu để kiểm tra khả năng bảo mật của ứng dụng chống lại các kĩ thuật tấn công

c)Chụp màn hinh:

Có thể chụp các trang ứng dụng web của bạn ở các trạng thái đặc biệt riêng. Khi sinh ra báo cáo, chụp màn hình cái mà bạn đưa ra sự khác nhau bao gồm trong báo cáo.

a- Quét trang web

b- Chọn hiển thị dạng Issue

c- Chon Result List

d- Trong Detail Pane > Request/Response, mở Screenshot.

e- Kich vao Add screenshot

f- Kich vào Capture this page d) Báo cáo các cảnh báo sai

Báo cáo 1 biến thể đơn lẻ 1. Chọn1 mục Result list

2. Trong thẻ Detail Pane > Request/Response tab, duyệt tới các biến thể của phát sinh được chọn

3. Khi biến thể được hiển thị, Click Report False Positive trên toolbar Hộp thoại Report False Positive mở ra

3. Click Save File để lưu file

Phụ thuộc vào thiết lập mã hóa(Encryption Setting), file được lưu trong định dạng mã hóa hoặc file .zip

4. Để gửi file tới đội ngũ hỗ trợ AppScan, kich vào liên kết Browse to your support provider, đăng nhập và upload file.

Báo cáo 1 biến thể thiết lập cảnh báo sai

1. Trong Result List, Click chuột phải vào 1 mục và chọn Report False Positive:

o 1 Issue,

o 1 địa chỉ URL, hoặc

o 1 tham biến

Hộp Thoại Report False Positive xuất hiện 2. Click Save File

3. Phụ thuộc vào thiết lập mã hóa(Encryption Setting), file được lưu trong định dạng mã hóa hoặc file .zip

4. Để gửi file tới đội ngũ hỗ trợ AppScan, kich vào liên kết Browse to your support provider, đăng nhập và upload file.

Mã hóa các báo cáo cảnh báo sai

1. Mở menu Tools > Options > General > Report False Positive.

2. Chọn/bỏ chọn hộp kiểm Encrypt attachments

Một phần của tài liệu Hướng dẫn sử dụng rational appscan (Trang 76 - 85)

Tải bản đầy đủ (DOC)

(123 trang)
w