AppScanでは、発見された脆弱性の概要、修正方法(一般的なもの、.NET、J2EE、PHPに特化したもの)、脆弱性が発見されたURL、パラメータと攻撃パターン、HTTPリクエストとレスポンス、脆弱性があると判断した理由を確認できる。
いくつかのテストでは、AppScanによる自動検査だけでは脆弱性の有無の判断ができないことがあるため、これらの情報をもとに、検出された脆弱性に間違いがないかを判断する。
前回までに説明しましたが、多くの脆弱性は修正方法がエスケープ処理を正しく行うことなど、非常に似ている。そのため、AppScan7.5から、脆弱性ごとの切り口ではなく、修正方法ごとでの確認ができる「修復ビュー」という機能が追加された。このビューを使用することで、開発者はすばやく対策を行うことができる。
AppScan7.5では、修復ビューを使用することですばやく対策を行うことができる(※クリックすると拡大画像が見られます)。
4)レポート作成フェーズ
テストフェーズで行ったテスト結果をレポートとして出力する。どのような脆弱性が存在するのか、その脆弱性が存在するURLやパラメータ、Cookieの名前などが出力される出力項目はカスタマイズできるものが数多くある。
AppScanのレポートは、PDF、リッチテキストなどの形式で出力できる。レポートは設定により、検査結果の統計情報を含む概要、リクエストとレスポンス、画面キャプチャ、脆弱性の解説などを含めることができる。
また、AppScanでは、2つの検査結果の差分をレポートとして出力することも可能。このレポートを用いることで最初の検査で発見された脆弱性を修正した後に再度検査を行い、どの程度修正されたかを数値として確認することができる。
AppScanのレポートは、PDF、リッチテキストなどの形式で出力できる(※クリックすると拡大画像が見られます)。
