Netsparker Standard 中文漢化使用教程Netsparker Standard如何生成 ISO 27001符合性報告
ISO 27001符合性報告
Netsparker可幫助您確定Web應用程序符合ISO 27001的缺點。
作為國際采用的標準,ISO 27001信息安全管理系統標準規定了如何管理數據。它列出了用于增加,開發和管理數據安全性的控制和目標。
- 掃描之后,Netsparker會列出您的Web應用程序中檢測到的所有漏洞和其他問題。但是,如果您只想查看違反ISO 27001的那些漏洞,則可以生成ISO 27001符合性報告。
- 該報告列出了可能違反ISO 27001標準的所有漏洞和問題,并根據該標準的各個部分對它們進行了分類。它還顯示每個已識別漏洞的所有技術信息,以及是否存在被利用的證明。
- 兩種Netsparker產品都允許您生成ISO 27001符合性報告。該報告主要滿足開發人員和IT人員的需求。
您的Web應用程序中可能存在其他漏洞和安全性問題,但未在ISO 27001符合性報告中列出。該報告不能代替正式報告,也不能用作ISO 27001合規性報告。
ISO 27001符合性報告部分
ISO 27001符合性報告分為四個部分:
- 掃描元數據
- 掃描總覽
- 漏洞名稱和詳細信息
- 顯示/隱藏掃描詳細信息
下面分別說明。
掃描元數據
本節提供以下各項的詳細信息:
- 掃描目標
- 掃描時間
- 掃描時間
- 要求總數
- 平均速度
- 風險等級
掃描總覽
這提供了以下方面的數字和圖形概述:
- 數量: 在各種漏洞嚴重性級別下檢測到的問題數量。
- 已識別的漏洞: 檢測到的漏洞總數。
- 已確認的漏洞: Netsparker通過采取額外的步驟(例如從目標中提取一些數據)驗證的漏洞總數。
漏洞摘要
本節提供有關每個發現的漏洞的信息摘要,并根據嚴重性對漏洞進行分類。例如,如果Netsparker將漏洞確定為“嚴重”,則需要立即引起注意。
如果單擊已識別的漏洞,則可以訪問有關該漏洞以及漏洞利用證明的詳細信息,例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞,但沒有被利用的證據,則Netsparker會就此問題提出確定程度。
下表列出并說明了“漏洞摘要”中的各列。
| 列 | 描述 |
|---|---|
| 確認 | 這表明Netsparker已驗證漏洞。 |
| 脆弱性 | 這提供了名稱以及指向攻擊者可以攻擊的已檢測問題的鏈接。 |
| 方法 | 這是Netsparker在其中發送有效負載的請求的HTTP方法。它演示了Netsparker部署了什么以識別問題。 |
| 網址 | 這是對包含該問題的資源的引用。 |
| 參數 | 這是用于識別問題的變量。 |
漏洞名稱和詳細信息
本節介紹所有已識別的問題和漏洞,以及它們的影響和利用證明。它還說明了應采取的措施以及每種措施,包括外部參考,以獲取更多信息。
下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。
| 標題 | 描述 |
|---|---|
| 名稱 | 這是已識別問題的名稱。 |
| 漏洞利用證明 | 這是證明該漏洞存在以及使用該漏洞從目標中提取的信息的證據。 |
| 漏洞詳情 | 這將顯示有關該漏洞的更多詳細信息。 |
| 確定性值 | 這表明Netsparker對確定的問題有多少把握。 |
| 影響力 | 這顯示了問題或漏洞對目標URL的影響。 |
| 成功開發所需的技能 | 這提供了有關惡意黑客如何利用此問題的詳細信息。 |
| 采取的行動 | 這些是可以立即采取的減少影響或防止剝削的步驟。 |
| 補救 | 這提供了解決已發現問題的更多步驟。 |
| 外部參考 | 這提供了指向其他網站的鏈接,您可以在其中找到更多信息。 |
| 分類 | ISO27001:這提供了進一步的信息來幫助您符合ISO27001標準。 |
| 補救措施參考 | 這提供了有關已解決問題的解決方案的更多信息。 |
| 概念證明注釋 | 這些說明原則上說明了系統可能受到損害的方式。 |
| 請求 | 這是Netsparker發送來檢測該問題的整個HTTP請求。 |
| 響應 | 這是系統對有效負載的答復。 |
顯示掃描詳細信息
本節提供了一些配置文件和策略設置,Netsparker可以使用這些配置文件和策略設置來調整其掃描范圍,以覆蓋更大的范圍。例如,它列出了所有已啟用的安全檢查。
它提供了有關選擇此掃描時您的偏好的信息,以便開發人員可以詳細了解如何運行掃描。
如何在Netsparker Standard中生成ISO 27001符合性報告
- 打開Netsparker Standard。
- 從功能區中,選擇“ 文件”選項卡。顯示本地掃描。雙擊相關掃描以顯示其結果。(這是您要添加到報告中的第一個掃描。)
- 在報告標簽中,點擊ISO 27001符合性報告。顯示“報告另存為” 對話框。
- 選擇一個保存位置,然后單擊保存。
- 此時 還將顯示“ 導出報告”對話框,其中“路徑”字段已從上一個對話框填充。
- 在“導出報告”對話框中,您可以決定:
策略:選擇默認策略或自定義策略報告。
格式:選擇HTML和/或PDF格式
漏洞選項(選擇一個或全部):
- 導出已確認:選中后,報告將包含已確認的漏洞。
- 導出未確認:選擇后,報告還將包含未確認的漏洞。
- 導出所有變體:變體意味著如果Netsparker在多個頁面中識別出某些被動或信息級別的問題,則不會顯示所有這些變體。但是,用戶可以通過啟用或禁用此選項來更改此設置。
打開生成的報告:選中后,單擊保存時將顯示您的報告。
- 點擊保存。
由于嚴重性過濾器,HTML報告格式是交互式的。例如,如果您不想看到“最佳實踐”或“信息”詳細信息,則可以取消選擇它們。單擊“漏洞”下的加號時,可以訪問有關此問題的更多信息。此外,您可以隱藏或顯示補救措施。
推薦文章: