HCL AppScan Enterprise 中文文檔 10.0.1 步驟 2:測試應用程序以查找漏洞——從第三方掃描程序導入問題
下表描述了 AppScan Enterprise 中的一些預定義問題屬性。
| 名稱 | 描述 |
|---|---|
| 狀態 | 用于在修復過程中跟蹤工作流程。 |
| CVSS | 基于基本和時間 CVSS 度量組的組合的平均分數和任何手動設置的嚴重性分數。 |
| 嚴重性值 | 手動調整特定問題的 CVSS 分數。通常,當您從第三方掃描程序或從 AppScan Standard 導入問題時或者當您對單個問題進行分類時將覆蓋設置。- 使用 CVSS- 信息 = 0- 低 = 3- 中 = 6- 高 = 8- 關鍵 = 12 |
| 發現方法 | 靜態分析 (SAST) 或動態分析 (DAST) |
| 掃描程序 | 導入了問題的第三方掃描程序的類型,例如 Nessus Vulnerability Scanner。 |
| 應用程序 | 從 AppScan Source 導入的問題。它包含一個或多個項目和相關屬性。屬性是一種特征,它有助于將掃描結果組織到有意義的組中。 |
| 元素 | 頁面上易受問題(例如,passw)影響的對象(例如,cookie 或參數)的名稱。 |
| 分類 | 發現類型:漏洞、異常或參考。異常指示需要更多信息或調查的可疑且可能易受攻擊的情況。 |
| 源文件 | AppScan Source 項目中的包含漏洞的源文件。 |
| 行 | 源代碼中找到漏洞的行號。 |
| 火 | 包含漏洞的 API。 |
| 項目名稱 | AppScan Source 中的項目由文件集來構成,包括源代碼和相關信息,例如配置數據。項目總是應用程序的一部分。 |
| 修訂日期 | 修復問題的日期和時間戳記。此屬性是只讀的。 |
| 過期 | 在預先確定的日期未修復的問題。 |
**表 1. CVSS 基本度量這些是漏洞的固定度量,不隨時間和用戶環境的變化而變化。
CVSS 基本度量
**
| 度量 | 描述 |
|---|---|
| 訪問向量 | 漏洞是僅可從本地利用,也可從相鄰網絡利用,還是可從任何網絡連接利用(“可遠程利用”)。 |
| 訪問復雜度 | 利用該漏洞所涉及的困難。 |
| 認證 | 攻擊者要利用漏洞時必須向目標進行認證的次數。 |
| 機密性影響 | 成功利用該漏洞對機密性的影響。 |
| 完整性影響 | 成功利用該漏洞后損害系統完整性(由應用程序提供的信息準確性)的程度。 |
| 可用性影響 | 成功利用該漏洞對信息資源可用性的影響。 |
**表 2. CVSS 時間度量這些是可能會隨時間而更改的漏洞度量。
CVSS 時間度量
**
| 度量 | 描述 |
|---|---|
| 可利用性 | 使用該漏洞的利用方法的當前狀態。 |
| 修復級別 | 對漏洞進行防護的可用修復級別。 |
| 報告置信度 | 漏洞的存在和技術詳細信息的置信度等級。 |
| # 創建問題概要信息模板 |
如果您是產品管理員,那么可以為問題概要信息模板創建定制的屬性。只要導入了新問題,便會使用這些定制的屬性。
關于此任務
調度該任務進行維護更新,以將用戶干擾最小化。
過程
檢查 CSV 列表以確定什么問題屬性使問題唯一,例如插件標識和端口。請務必真正了解您的數據,以及什么使文件中的各行唯一。
例如,在該 CSV 文件中,端口和名稱組合使問題唯一。
在“監視器”視圖的任務夾選項卡上,選擇菜單中的編輯問題概要信息模板。
使用“編輯問題概要信息模板”頁面來為用于定義關于問題的信息的概要信息模板創建定制的屬性。預定義的問題屬性將顯示在“編輯問題概要信息模板”頁面上的列表頂部。
添加屬性并為其提供名稱。
選擇在概要信息頁面上顯示的類型,然后單擊保存。
注:
- 要在屬性保存到概要信息中之后編輯類型值,請刪除該屬性,保存概要信息,然后使用所需值創建新屬性。
- 長文本類型具有 2 GB 的字符限制,并且可用于顯示請求或響應文本、咨詢或者修訂建議。
- 如果長文本和單值類型字段包含逗號,那么字段的兩邊必須加上雙引號 (“)。
如果選擇下拉作為“類型”,那么會打開“編輯下拉值”頁面。通過創建使用了不同文本顏色和文本強調的值來修改主“任務夾”選項卡中屬性的外觀。
修改摘要圖表 html 顏色。使用十六進制格式,
例如 #C0C0C0 或文本。如果有任何圖表顏色為空,則都將改用缺省調色板。
為 CVSS 公式計算中引用的屬性所使用的每個下拉屬性選項都分配一個數字值或權重。
為 Severity Value 屬性分配數字值以設置應用程序在應用程序網格中如何按嚴重性分組。
如果您不希望屬性可視或可用于進行搜索和過濾,請清除可視復選框。缺省情況下,屬性在“問題”選項卡中可視。當它們可視時,它們可用于進行搜索和過濾。無論屬性是否隱藏而不可視,屬性數據都保存在數據庫中。
保存更改并返回到任務夾選項卡。
下一步做什么
創建導入 CSV 文件的掃描程序概要文件
推薦文章: