Quick Start (tw_快速入門)

本快速入門包括設定首次專案掃描和預設集合概覽的資訊。

網頁目錄

設定

Projects & Scans > Create New Project (專案及掃描 > 建立新專案)視窗中,執行下列程序:

第一階段:進入專案一般設定

  1. Project Name (專案名稱):為專案提供適當的專案名稱。
  2. Preset (預設集合):預設集合將決定專案的掃描規則。從下拉式清單中選取適當的掃描預設集合。
  3. Configuration (設定):選取新專案的設定。對於試用版本,建議您執行預設選擇。
  4. Team (小組):選取新專案的小組。對於試用版本,建議您執行預設選擇。

試用時,建議讓Configuration (設定)和Team (小組)欄位保持不變。

第二階段:選擇原始碼進行掃描

  1. 選取Local (本機)以將程式碼上傳為壓縮檔。程式碼必須經由MS zip壓縮。測試帳戶的程式碼以350,000行(總行數)為限。
  2. 選取Shared (開源程式庫)、Source Control (原始碼控制)或Source Pulling (原始碼提取),然後以任何其他格式上傳程式碼。

請注意,您可以前往https://github.com/OWASP/benchmark,按一下Clone or download (複製或下載)按鈕,然後選取偏好的選項,來掃描"OWASP Benchmark Project"程式碼。

  1. 其他可用於掃描的程式碼實例包括:
    Bookstore.NetBookstore.JavaBookstore.php4WebGoat5.0WebGoat6.0CPP 範例iGoat實例Android
  2. 如果使用瀏覽器/ Eclipse/ Visual Studio/ IBM RAD,請從瀏覽器選項開始。
  3. 當Finish (完成)按鈕啟用時,請按一下Finish (完成)以將專案放入佇列。

第三階段:執行掃描

  • Projects & Scans > Queue (專案及掃描 > 佇列)中,按一下佇列表中的專案行,可監控掃描進度。

檢閱掃描結果

第一階段 – 專案及掃描

  • Projects & Scans > Projects(專案及掃描 > 專案)中,按一下掃描列以檢視掃描結果和帳戶活動的高階摘要。

如需更多控制面板的詳細資訊,請按這裡

第二階段 – 檢閱程式原始碼中的掃描結果

檢視程式原始碼內的詳細掃描結果。弱點和瀏覽的攻擊路徑均會強調顯示。

View Results (檢視結果)頁面分成四個(4)區段:

  • 依弱點列出的掃描結果摘要、
  • 結果表或圖表、
  • 攻擊媒介
  • 程式原始碼

掃描結果摘要

  • 掃描結果摘要窗格:偵測到的弱點摘要,依據High (高)、Medium (中)和Low (低)的標題分組。摘要會顯示那些弱點出現在程式碼中的例項數。「工具提示」顯示更多特定弱點和最適當移除方法的資訊。

  • 程式原始碼窗格:在程式原始碼內,檢視所偵測到弱點的特定處。

  • 結果表:列出每一個弱點例項和詳細資訊。若要管理結果,可透過使用Filter (篩選器)按鈕,組織資料和儲存結果。

  • 圖表:就程式碼中所找到弱點取得宏觀的圖表觀點,查看關聯性和識別最佳的修正處(紅色按鈕)。

  • 攻擊媒介:在Results(結果)窗格中選取弱點例項,記下造成該弱點的完整程式碼元素路徑。

如需更多使用掃描結果的詳細資訊,請按這裡

預設集合管理者:概覽

預設集合設定包含一組查詢。Preset Manager (預設集合管理者)可以檢視每個預設集合中的查詢詳細資訊。

若要存取Preset Manager (預設集合管理者),請移至Management > Scan Settings > Preset Manager (管理 > 掃描設定 > 預設集合管理者)。
預設集合內含的查詢顯示在右窗格,而各個查詢發現的弱點描述則如下面的查詢說明所述。

如需更多管理預設集合的詳細資訊,請按這裡