Netsparker Standard 中文漢化使用教程Netsparker Standard如何生成詳細的掃描報告
詳細的掃描報告
詳細掃描報告既提供摘要,也提供對掃描網站安全狀態的深入了解。
Netsparker可在任何平臺上提供全面的漏洞測試。掃描程序會爬網并攻擊您的網站或Web應用程序,以識別易受攻擊的點。Netsparker掃描您的Web應用程序時,它也開始顯示其發現。這顯示了系統的安全狀態,包括有多少個漏洞以及它們的嚴重程度。
- 只需單擊幾下,您就可以看到所有技術細節,例如HTTP請求,HTTP響應以及每個已確定問題的證明。此外,對于任何問題,Netsparker都會提供有關影響,采取的措施,補救措施,參考,分類和CVSS分數的其他信息。
- 如果要在單個文檔中查看所有信息,則可以生成HTML或PDF格式的詳細掃描報告。此報告同時提供有關掃描的常規和詳細信息。您可以與其他部門(例如支持部門或開發人員)共享此報告,以便他們可以開始修復這些漏洞。
- 兩種Netsparker產品均允許您生成此詳細掃描報告。由于詳細掃描報告包含所有技術細節,因此主要解決了開發人員和IT人員的需求。
- 該報告主要顯示掃描元數據,以提供諸如目標URL和掃描時間/持續時間之類的信息。通過此元數據,您可以查看整體安全狀況。此摘要顯示數字信息和甜甜圈圖,以便您可以輕松確定Web應用程序的嚴重性級別以及識別和確認這些漏洞中的多少個。
詳細的掃描報告部分
詳細掃描報告分為五個部分:
- 掃描元數據
- 掃描總覽
- 漏洞摘要
- 漏洞名稱和詳細信息
- 顯示掃描詳細信息
下面分別說明。
掃描元數據
本節提供以下各項的詳細信息:
- 掃描目標
- 掃描時間
- 掃描時間
- 要求總數
- 平均速度
- 風險等級
漏洞
這提供了以下方面的數字和圖形概述:
- 數量:在各種漏洞嚴重性級別下檢測到的問題數量
- 已識別的漏洞:檢測到的漏洞總數
- 已確認的漏洞:Netsparker通過采取額外步驟(例如從目標中提取一些數據)驗證的漏洞總數
漏洞摘要
本節提供有關每個發現的易受攻擊的URL的信息的摘要,并根據嚴重性對它們進行分類。例如,如果Netsparker將漏洞確定為“嚴重”,則需要立即引起注意。
如果單擊已識別的漏洞,則可以訪問有關該漏洞以及漏洞利用證明的詳細信息,例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞,但沒有被利用的證據,則Netsparker會就此問題提出確定程度。
下表列出并說明了“漏洞摘要”中的各列。
| 列 | 描述 |
|---|---|
| 確認 | 這表明Netsparker是否已驗證漏洞。 |
| 漏洞 | 這將顯示問題的名稱,并提供指向攻擊者可以利用的檢測到的問題的鏈接。 |
| 方法 | 這是Netsparker在其中發送有效負載的請求的HTTP方法。它演示了Netsparker部署了什么以識別問題。 |
| 網址 | 這是對包含該問題的資源的引用。 |
| 參數 | 這是用于識別問題的變量。 |
漏洞名稱和詳細信息
本節介紹所有已識別的問題和漏洞,以及它們的影響和利用證明。它還說明了應采取的措施以及每種措施,包括外部參考,以獲取更多信息。
下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。
| 標題 | 描述 |
|---|---|
| 名稱 | 這是已識別問題的名稱。 |
| 漏洞利用證明 | 這是提供的證明該漏洞存在的證據,顯示了使用該漏洞從目標中提取的信息。 |
| 漏洞詳情 | 這將顯示有關該漏洞的更多詳細信息。 |
| 確定性值 | 這表明Netsparker對確定的問題有多少把握。 |
| 影響力 | 這顯示了問題或漏洞對目標URL的影響。 |
| 成功開發所需的技能 | 這提供了有關惡意黑客如何利用此問題的詳細信息。 |
| 采取的行動 | 這些是可以立即采取的減少影響或防止剝削的步驟。 |
| 補救 | 這提供了解決已發現問題的更多步驟。 |
| 外部參考 | 這提供了指向其他網站的鏈接,您可以在其中找到更多信息。 |
| 分類 | PCI DSS 3.2:它提供了更多信息,可幫助您遵守“支付卡行業數據保存標準”的要求。OWASP 2013:根據開放Web應用程序安全性項目(OWASP)2013版的前十名列表,此信息提供有關此漏洞的更多信息。OWASP 2017:根據OWASP Top 10列表2017版,此信息提供有關此漏洞的更多信息。SANS前25名:這提供了有關已檢測到SANS編譯的前25個軟件錯誤中的哪些的更多信息。CWE:這代表常見弱點枚舉。此信息顯示可以將CWE歸為哪個類別(社區開發的常見軟件和硬件弱點列表)的分類。CAPEC:代表通用攻擊模式枚舉和分類,并提供有關此問題的更多信息。WASC:這代表Web應用程序安全聯盟,并提供有關此問題的更多信息。HIPAA:這組要求由美國的《健康保險可移植性和責任法案》確定。ISO27001:這提供了更多信息,以幫助您符合ISO27001標準。CVSS 3.0:這顯示基于3.0版的通用漏洞評分系統的漏洞的嚴重程度得分。CVSS 3.1:這顯示基于3.1版的通用漏洞評分系統的漏洞的嚴重程度得分。 |
| 補救措施參考 | 這提供了有關已解決問題的解決方案的更多信息。 |
| 概念證明注釋 | 這些說明原則上說明了系統可能受到損害的方式。 |
| 請求 | 這是Netsparker發送以檢測問題的整個HTTP請求。 |
| 響應 | 這是系統對有效負載的答復。 |
顯示掃描詳細信息
本節提供了一些配置文件和策略設置,Netsparker使用這些設置和策略設置來調整其掃描以實現更好的掃描范圍。例如,它列出了所有已啟用的安全檢查。
它提供有關您選擇此掃描時的偏好的信息,以便開發人員可以了解有關如何運行掃描的更多詳細信息。
如何在Netsparker Standard中生成詳細的掃描報告
- 打開Netsparker Standard。
- 從功能區中,選擇“ 文件”選項卡。顯示本地掃描。雙擊相關掃描以顯示其結果。(這是您要添加到報告中的第一個掃描。)
- 在“ 報告” 選項卡中,單擊“ 詳細掃描報告”。顯示“報告另存為” 對話框。
- 選擇一個保存位置,然后單擊保存。
- 此時 還將顯示“ 導出報告”對話框,其中“路徑”字段已從上一個對話框填充。
- 在“導出報告”對話框中,您可以決定:
策略:選擇默認策略或自定義策略報告。
格式:選擇HTML和/或PDF格式。
漏洞選項(選擇一個或全部):
- 導出已確認:選中后,報告將包含已確認的漏洞。
- 導出未確認:選擇后,報告還將包含未確認的漏洞。
- 導出所有變體:變體意味著如果Netsparker在多個頁面中識別出某些被動或信息級別的問題,則不會顯示所有這些變體。但是,用戶可以通過啟用或禁用此選項來更改此設置。
打開生成的報告:選中后,當您單擊保存時,將顯示您的報告。
- 點擊保存。
由于嚴重性過濾器,HTML報告格式是交互式的。例如,如果您不想看到“最佳實踐”或“信息”詳細信息,則可以取消選擇它們。單擊“漏洞”下的加號時,可以訪問有關此問題的更多信息。此外,您可以隱藏或顯示補救措施。
推薦文章: