SANS排名前25位的報告

Netsparker Standard中的SANS Top 25報告列出了在Web應用程序中發現的常見弱點枚舉（CWE）列表中最危險的軟件錯誤。

• 這些錯誤可能導致嚴重的后果，使攻擊者可以竊取數據，完全接管應用程序或通過影響系統可用性來阻止其完全運行。此列表還可以作為開發人員，管理員和教育工作者的參考點。
• Netsparker報告在SANS前25名列表中分類的漏洞，并提供有關這些漏洞的詳細信息。
• 當前，只有Netsparker Standard版允許您生成SANS Top 25報告。

您的Web應用程序中可能還存在其他漏洞和安全問題，但未在SANS Top 25報告中列出。

SANS前25個報告部分

SANS Top 25報告中有五個部分：

• 掃描細節
• 掃描總覽
• 漏洞摘要
• 漏洞名稱和詳細信息
• 顯示掃描詳細信息

下面分別說明。

掃描元數據

本節提供以下各項的詳細信息：

• 掃描目標
• 掃描時間
• 掃描時間
• 要求總數
• 平均速度
• 風險等級

漏洞

這提供了以下方面的數字和圖形概述：

• 數量：在各種漏洞嚴重性級別下檢測到的問題數量
• 已識別的漏洞：檢測到的漏洞總數
• 已確認的漏洞：Netsparker通過采取額外步驟（例如從目標中提取一些數據）驗證的漏洞總數

漏洞摘要

本節提供了有關掃描中發現的每個漏洞的信息摘要，并根據嚴重性對漏洞進行了分類。例如，如果Netsparker將漏洞確定為“嚴重”，則需要立即引起注意。

如果單擊已識別的漏洞，則可以訪問有關該漏洞以及漏洞利用證明的詳細信息，例如HTTP請求和響應代碼以及正文。如果Netsparker發現了漏洞，但沒有被利用的證據，則Netsparker會就此問題提出確定程度。

下表列出并說明了“漏洞摘要”中的各列。

漏洞名稱和詳細信息

本節描述了在SANS排名前25位的列表中發現的所有已確定問題和漏洞。它還說明了應采取的措施以及每項措施。此外，它還顯示（如果有）漏洞利用證明和外部參考，以獲取更多信息。

下表列出并解釋了“漏洞名稱和詳細信息”部分中的標題。

顯示掃描詳細信息

本節提供了一些配置文件和策略設置，Netsparker使用這些設置和策略設置來調整其掃描以實現更好的掃描范圍。例如，它列出了所有已啟用的安全檢查。

它提供有關您希望進行此掃描的信息，以便開發人員可以詳細了解如何運行掃描。

如何在Netsparker Standard中生成SANS前25個報告

1. 打開Netsparker Standard。

2. 從功能區中，選擇“ 文件”選項卡。顯示本地掃描。雙擊相關掃描以顯示其結果。（這是您要添加到報告中的第一個掃描。）
3. 在“ 報告” 選項卡中，單擊“ SANS Top 25報告”。顯示“報告另存為” 對話框。
4. 選擇一個保存位置，然后單擊“ 保存”。
5. 此時 還將顯示“ 導出報告”對話框，其中“路徑”字段已從上一個對話框填充。

6. 在“導出報告”對話框中，您可以決定：

• 策略：選擇默認策略或自定義策略報告。
• 格式：選擇HTML和/或PDF格式。
• 漏洞選項（選擇一項或全部）：確認導出：選中后，報告將包括已確認的漏洞。
  • 導出未確認：選擇后，報告還將包含未確認的漏洞。
  • 導出所有變體：變體意味著如果Netsparker在多個頁面中識別出某些被動或信息級別的問題，則不會顯示所有這些變體。但是，用戶可以通過啟用或禁用此選項來更改此設置。
  • 打開生成的報告：選中后，單擊保存時將顯示您的報告。

7. 點擊保存。