OWASP 2013年十大報告

開放式Web應用程序安全性項目（OWASP）十大報告使您僅可以查看OWASP十大分類中所檢測到的漏洞和問題。

• 自2003年以來，OWASP基金會從Web應用程序安全性行業收集數據，一直在發布和更新其漏洞列表，以提高開發人員，Web應用程序安全性社區和公司對最嚴重的安全風險的認識。
• 作為黑盒漏洞掃描程序，Netsparker會對您的Web應用程序進行爬網和攻擊，以識別漏洞，例如SQL注入，跨站點腳本（XSS）以及數千種其他變體。OWASP 2013十佳列表中列出了其中一些漏洞。
• Netsparker的兩個版本均允許您生成OWASP 2013年十大報告。要查看技術細節，您需要單擊相關漏洞。
• 該報告列出了OWASP 2013十佳列表中顯示的漏洞，并提供了每個漏洞的技術詳細信息。它可以幫助您解決這些漏洞和問題。
• 該報告具有HTML或PDF格式。

您的Web應用程序中可能還存在其他漏洞和安全問題，但未在OWASP 2013十大報告中列出。

OWASP 2013十大報告部分

OWASP 2013十大報告共有五個部分：

• 掃描元數據
• 掃描總覽
• 漏洞摘要
• 漏洞名稱和詳細信息
• 顯示/隱藏掃描詳細信息

掃描元數據

本節提供以下各項的詳細信息：

• 掃描目標
• 掃描時間
• 掃描時間
• 要求總數
• 平均速度
• 風險等級

掃描總覽

這提供了以下方面的數字和圖形概述：

• 數量: 在各種漏洞嚴重性級別下檢測到的問題數量
• 已識別的漏洞:檢測到的漏洞總數
• 已確認的漏洞:Netsparker通過采取額外步驟（例如從目標中提取一些數據）驗證的漏洞總數

漏洞摘要

本節提供有關每個發現的易受攻擊的URL的信息的摘要，并根據嚴重性對它們進行分類。例如，如果Netsparker將漏洞確定為“嚴重”，則需要立即引起注意。

如果單擊已識別的漏洞，則可以訪問有關該漏洞以及漏洞利用證明的詳細信息，例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞，但沒有被利用的證據，則Netsparker會就此問題提出確定程度。

下表列出并說明了“漏洞摘要”中的各列。

漏洞名稱和詳細信息

本節介紹所有已識別的問題和漏洞，以及它們的影響和利用證明。它還說明了應采取的措施以及每種措施，包括外部參考，以獲取更多信息。

下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。

顯示掃描詳細信息

本節提供了一些配置文件和策略設置，Netsparker可以使用這些配置文件和策略設置來調整其掃描范圍，以覆蓋更大的范圍。例如，它列出了所有已啟用的安全檢查。

它提供有關您選擇此掃描時的偏好的信息，以便開發人員可以詳細了解如何運行此掃描。

如何在Netsparker Standard中生成OWASP 2013十大報告

1. 打開Netsparker Standard。

2. 從功能區中，選擇“ 文件”選項卡。顯示本地掃描。雙擊相關掃描以顯示其結果。（這是您要添加到報告中的第一個掃描。）
3. 在“ 報告” 標簽中，點擊OWASP 2013或2017年十大報告。顯示“報告另存為” 對話框。
4. 選擇一個保存位置，然后單擊“ 保存”。
5. 此時還將顯示“ 導出報告”對話框，其中“路徑”字段已從上一個對話框填充。

6. 在此對話框中，您可以決定：

• 策略：選擇默認策略或自定義策略報告

• 格式：選擇HTML和/或PDF格式

• 漏洞選項：選擇以下所有或任何選項：

  • 導出已確認：選中后，報告將包含已確認的漏洞。
  • 導出未確認：選擇后，報告還將包含未確認的漏洞。
  • 導出所有變體：變體意味著如果Netsparker在一頁以上的頁面中識別出某些被動或信息級問題，則不會顯示所有這些變體。但是，用戶可以通過啟用或禁用此選項來更改此設置。

• 打開生成的報告：選中后，單擊保存即可生成報告。

7. 點擊保存