一般來說,網頁應用程式弱點掃描最終將以報告的形式提供給應用程式開發團隊進行漏洞修補,AppScan Standard 內建五種基本報告類型,分別是安全性報告(Security Report)、業界標準報告(Industry Standard Report)、法規相符性報告(Regulatory Compliance Report)、差異分析報告(Delta Analysis Report)以及以範本為基礎的報告(Template Based Report)。其中,安全性報告是大部分資安檢測團隊提供給應用程式開發團隊的報告類型,因為這一份報告提供的資訊最詳盡,除了作為漏洞排除的重要參考之外,還可以利用它來建立網頁應用程式安全開發的指引及內部規範。由於 AppScan Standard 的報告功能非常強大,我們將以三篇文章分別進行說明,本篇文章將著重於介紹這五種基本類型報告的概要內容及使用時機。
1.安全性報告(Security Report)
安全性報告可以稱得上是 AppScan Standard 網頁應用程式弱點掃描的精華,它將掃描過程找到的所有安全問題透過結構化的方式整合在一個易於列印、閱讀,且有助於快速理解結果的報告檔案中。安全性報告主要將 AppScan Standard 弱掃結果的「應用程式資料」、「安全問題」以及「補救作業」等三個工作視圖中的資訊彙整起來,測試人員可以選擇將所有的安全問題或是針對應用程式樹狀結構中的特定 URL 或資料夾產出安全性報告。
欲產出安全性報告,請點擊主功能選單「工具」>「建立報告」,或直接點擊工具列上的「報告」按鈕。待「建立報告」視窗出現後,預設就是「安全性報告」功能頁面,如下圖所示。安全性報告功能包含「報告類型」與「佈置」二個頁籤,前者主要用於指定報告涵蓋的章節內容以及產出資料的細節程度(這部份我們將單獨用一篇文章進行完整說明);後者則用於指定報告的版面格式,例如報告標題、目錄、頁首頁尾、LOGO 等內容,這對於產出一份精美且完整的報告來說非常地實用(測試人員無須再將報告進行二次加工)。
完成報告章節涵蓋範圍以及版面配置後,請點擊下方「儲存報告」按鈕,點擊「存檔類型」下拉式選單,可以指定將報告產出為 PDF、HTML、RTF(可使用 Microsoft Word 開啟)、TXT 與 XML 等格式。就經驗來說,我們服務的客戶都喜歡 PDF 格式的安全性報告,但我們建議提供 HTML 格式報告給應用程式開發團隊比較適當,原因在於 HTML 較能提供友善地互動操作及資料查找能力。
2.業界標準報告(Industry Standard Report)
業界標準報告與法規相符性報告的用途類似,主要用以檢測網頁應用程式是否符合特定產業或國際規範標準對於安全性的要求。AppScan Standard V10.0.5 版本支援 ISO 27001、ISO 27002、NERC CIPC 電力部門安全準則、NIST 專刊 800-53、OWASP Top 10、SANS/CWE 前 25 項最危險的程式設計錯誤、以及WASC 威脅分類等七項產業標準。
欲產出業界標準報告,請於「建立報告」視窗中點擊並切換至「業界標準報告」功能頁面,該功能同樣包含「報告類型」與「佈置」等二個頁籤,前者用於選擇業界標準報告的範本;後者則用於指定報告的版面格式。此外,我們同樣也可以將報告產出為 PDF、HTML、RTF、TXT 與 XML 等格式,這都屬於 AppScan Standard 報告的基本功能。
業界標準報告的內容並不會像安全性報告一樣涵蓋詳細的漏洞說明及補救建議,這份報告著重於表達出網頁應用程式是否有不符合選定業界標準的問題以及問題的數量,它包含以下四大章節:
- 法規及標準說明:由於每個業界標準皆有其特別的規範及分類方式,這個章節主要針對選定的業界標準進行簡要說明。
- 違規區段:依據業界標準的規範及分類方式,列出不符合標準的問題清單和數量。請注意:這裡是以業界標準的分類方式進行計算,若同一支程式違反二項分類規定時,會被分別計算到這二項分類的問題數中。此外,若檢測出的安全問題並未涵蓋於業界標準的範圍,就不會列入在問題數中,因此這裡的問題總數並不會等同於 AppScan Standard 找到的問題總數。
- 區段違反(依問題):這個章節會以 URL 與程式實體為單位,列出安全問題的類型以及違反之分類。
- 詳細的安全問題(依區段):這個章節則是以業界標準的分類方式進行分組,列出所有安全問題的風險、發生原因、修正建議以及對應的 URL 與程式實體。
3.法規相符性報告(Regulatory Compliance Report)
法規相符性報告又可稱為合規性報告,用以檢測網頁應用程式是否符合特定國家或國際組織對於應用程式安全性的規範要求。AppScan Standard V10.0.5 版本共計支援 42 項國際法規,例如醫療產業的 HIPAA、公司治理相關的沙賓法案(SOA)、金融產業的 Basel II 以及支付產業的 PCI-DSS 等。
欲產出法規相符性報告,請於「建立報告」視窗中點擊並切換至「法規相符性報告」功能頁面,該功能同樣包含「報告類型」與「佈置」等二個頁籤,前者用於選擇法規相符性報告的範本;後者則用於指定報告的版面格式。此外,我們同樣也可以指定將報告產出為 PDF、HTML、RTF、TXT 與 XML 等格式,這些都屬於 AppScan Standard 報告的基本功能。法規相符性報告與業界標準報告相同,同樣包含法規說明、違規區段、區段違反(依問題)以及詳細的安全問題(依區段)等四大章節,以下是一個 PCI-DSS 法規相符性報告的節錄圖片。
4.差異分析報告(Delta Analysis Report)
差異分析報告用於比較兩個掃描的結果檔案,並以報告的方式顯示其中所發現之 URL 及安全問題之間的差異。欲產出此報告,請於「建立報告」視窗中點擊並切換至「差異分析報告」功能頁面,該功能同樣包含「報告類型」與「佈置」等二個頁籤,前者用於指定基本掃描的版本(基準掃描或稱之為初掃結果)、目標掃描的版本(比較對象的掃描或稱之為複掃結果)以及差異比較的元素;後者則用於指定報告的版面格式。
差異分析報告顧名思義就是在比較前後二次掃描結果之間的差異,報告的第一個章節以複掃結果作為基準列出「新建(新增加的 URL)」、「剩餘(未修補的 URL)」以及 「已移除(複掃遭移除的 URL)」的數量及清單。
差異分析報告的第二個章節同樣是以複掃結果作為基準列出「新建(新增加的問題)」、「已修正(已修正的問題)」以及「待解決(尚未修正的問題)」的安全問題數量以及對應的 URL 與程式實體,中間並插入了二次掃描結果中依據風險等級所統計出的安全問題數量比較圖。
5.以範本為基礎的報告(Template Based Report)
範本型報告基本上算是客製化報告的範疇,AppScan Standard 提供了「綜合性的安全報告」、「執行摘要」、「補救作業」、「發現的問題(依問題類型)」以及「發現的問題(依 URL)」等五種報告範本,這些範本允許被匯出為 Microsoft Word 格式,並提供測試人員進行內容格式與文字描述上的修正,隨後可以將自定義的報表格式上傳至 AppScan Standard 中,待選定這個自訂報表範本再點擊「儲存報告」按鈕,即可產出一份客製化的報告(僅能儲存為 Microsoft Word 格式)。
下圖是使用內建綜合性的安全報告(範本)所產出報告的節錄圖片(已手動存檔為 PDF 格式),藉由這個報告範例,我們可以知道範本型報告主要滿足需要客製化報表格式需求的客戶,或是我們也可以選擇對產出的 Microsoft Word 格式報告進行二次編輯,例如加上檢測單位、檢測人員甚至是檢測意見等自訂的內容,讓 AppScan Standard 能夠產出更符合企業文書格式需求的弱掃報告。
