Netsparker Standard 中文漢化使用教程Netsparker Standard如何生成OWASP 2017年十大報告
OWASP 2017年十大報告
開放式Web應用程序安全性項目(OWASP)十大報告使您僅可以查看OWASP十大分類中所檢測到的漏洞和問題。
- 自2003年以來,OWASP基金會從Web應用程序安全性行業收集數據,一直在發布和更新其漏洞列表,以提高開發人員,Web應用程序安全性社區和公司對最嚴重的安全風險的認識。
- 作為黑盒漏洞掃描程序,Netsparker會對您的Web應用程序進行爬網和攻擊,以識別漏洞,例如SQL注入,跨站點腳本(XSS)以及數千種其他變體。其中一些漏洞在OWASP 2017十佳列表中列出。
- Netsparker的兩個版本均允許您生成OWASP 2017年十大報告。要查看技術細節,您需要單擊相關漏洞。
- 該報告列出了OWASP 2017十佳列表中顯示的漏洞,并提供了每個漏洞的技術詳細信息。它可以幫助您解決這些漏洞和問題。
- 該報告具有HTML或PDF格式。
您的Web應用程序中可能還存在其他漏洞和安全問題,但未在OWASP 2017十大報告中列出。
OWASP列表之間的比較
請注意,2013年和2017年OWASP十佳排名有所不同。當開放Web應用程序安全項目在2017年更新其列表時,它增加了新的安全風險,并從2013年列表中刪除了一些威脅。例如,該項目引入了三種新的Web應用程序安全風險:XML外部實體(XXE)注入,不安全的反序列化以及日志和監視不足。總體而言,2017年反映了Web應用程序開發中的變化。
OWASP 2017年十大報告部分
OWASP 2017十大報告共有五個部分:
- 掃描元數據
- 掃描總覽
- 漏洞摘要
- 漏洞名稱和詳細信息
- 顯示/隱藏掃描詳細信息
掃描元數據
本節提供以下各項的詳細信息:
- 掃描目標
- 掃描時間
- 掃描時間
- 要求總數
- 平均速度
- 風險等級
漏洞
這提供了以下方面的數字和圖形概述:
- 數量:在各種漏洞嚴重性級別下檢測到的問題數量
- 已識別的漏洞:檢測到的漏洞總數
- 已確認的漏洞:Netsparker通過采取額外步驟(例如從目標中提取一些數據)驗證的漏洞總數
漏洞摘要
本節提供有關每個發現的易受攻擊的URL的信息的摘要,并根據嚴重性對它們進行分類。例如,如果Netsparker將漏洞確定為“嚴重”,則需要立即引起注意。在Netsparker Enterprise中,此部分改名為“易受攻擊的URL”。
如果單擊已識別的漏洞,則可以訪問有關該漏洞以及漏洞利用證明的詳細信息,例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞,但沒有被利用的證據,則Netsparker會就此問題提出確定程度。
下表列出并說明了“漏洞摘要”中的各列。
| 列 | 描述 |
|---|---|
| 確認 | 這表明Netsparker是否已驗證漏洞。 |
| 漏洞 | 這將顯示問題的名稱,并提供指向攻擊者可以利用的檢測到的問題的鏈接。 |
| 方法 | 這是Netsparker在其中發送有效負載的請求的HTTP方法。它演示了Netsparker部署了什么以識別問題。 |
| 網址 | 這是對包含該問題的資源的引用。 |
| 參數 | 這是用于識別問題的變量。 |
漏洞名稱和詳細信息
本節介紹所有已識別的問題和漏洞,以及它們的影響和利用證明。它還說明了應采取的措施以及每種措施,包括外部參考,以獲取更多信息。
下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。
| 標題 | 描述 |
|---|---|
| 名稱 | 這是已識別問題的名稱。 |
| 漏洞利用證明 | 這是提供的證明該漏洞存在的證據,顯示了使用該漏洞從目標中提取的信息。 |
| 漏洞詳情 | 這將顯示有關該漏洞的更多詳細信息。 |
| 確定性值 | 這表明Netsparker對確定的問題有多少把握。 |
| 影響力 | 這顯示了問題或漏洞對目標URL的影響。 |
| 成功開發所需的技能 | 這提供了有關惡意黑客如何利用此問題的詳細信息。 |
| 采取的行動 | 這些是可以立即采取的減少影響或防止剝削的步驟。 |
| 補救 | 這提供了解決已發現問題的更多步驟。 |
| 外部參考 | 這提供了指向其他網站的鏈接,您可以在其中找到更多信息。 |
| 分類 | OWASP 2017:根據開放Web應用程序安全性項目(OWASP)2017版的前10名列表,此漏洞提供了有關此漏洞的更多信息。 |
| 補救措施參考 | 這提供了有關已解決問題的解決方案的更多信息。 |
| 概念證明注釋 | 這些說明原則上說明了系統可能受到損害的方式。 |
| 請求 | 這是Netsparker發送以檢測問題的整個HTTP請求。 |
| 響應 | 這是系統對有效負載的答復。 |
顯示掃描詳細信息
本節提供了一些配置文件和策略設置,Netsparker可以使用這些配置文件和策略設置來調整其掃描范圍,以覆蓋更大的范圍。例如,它列出了所有已啟用的安全檢查。
它提供有關您選擇此掃描時的偏好的信息,以便開發人員可以詳細了解如何運行此掃描。
如何在Netsparker Standard中生成OWASP 2017十大報告
- 打開Netsparker Standard。
- 從功能區中,選擇“ 文件” 選項卡。顯示本地掃描。雙擊相關掃描以顯示其結果。(這是您要添加到報告中的第一個掃描。)
- 在“ 報告” 標簽中,點擊OWASP 2013或2017年十大報告。顯示“報告另存為” 對話框。
- 選擇一個保存位置,然后單擊“ 保存”。
- 此時 還將顯示“ 導出報告”對話框,其中“路徑”字段已從上一個對話框填充。
- 在此對話框中,您可以決定:
策略:選擇默認策略或自定義策略報告
格式:選擇HTML和/或PDF格式
漏洞選項:選擇以下所有或任何選項:
- 導出已確認:選中后,報告將包含已確認的漏洞。
- 導出未確認:選擇后,報告還將包含未確認的漏洞。
- 導出所有變體:變體意味著如果Netsparker在一頁以上的頁面中識別出某些被動或信息級問題,則不會顯示所有這些變體。但是,用戶可以通過啟用或禁用此選項來更改此設置。
打開生成的報告:選中后,單擊保存即可生成報告。
- 點擊保存
推薦文章: