检查的漏洞

要确定漏洞的优先级和下一步步骤，请查看每个漏洞可用的信息。

弱点是什么?

漏洞是指应用程序容易受到攻击的方面。在每个组织、应用程序和扫描级别的漏洞中，您可以查看有关漏洞的信息，并回放攻击，以便您可以了解如何纠正它，并提高应用程序的安全性。您可以在漏洞上留下注释，以帮助您和其他人更好地理解和纠正漏洞。

漏洞状态意味着什么?

以下状态可帮助您对扫描结果进行排序和优先顺序：

地位	什么时候用？
未审核	通过需要审查的扫描找到的所有漏洞。这是您在查看扫描结果时的起点。
新	在以前的扫描中未发现的新发现的漏洞。这些漏洞被标记为“未审查”，并标记为“新”，直到在后续扫描中被审查或发现。
忽略了	被确定为潜在有害的漏洞，但用户审查和标记后忽略了。您可能希望重播攻击或以其他方式验证忽略的漏洞不会构成威胁。
假阳性	用户被insightappsec被错误地发现的用户被标记为漏洞。用户可以在调查过程中更改虚假漏洞的状态。
验证	用户调查并确定具有合法风险的漏洞。用户将状态更改为Verified，以表明需要对其进行纠正。
矫正	已识别、调查并修复的漏洞。用户和验证扫描可以将状态更改为“已修复”。如果在后续扫描中重新发现问题，则状态恢复为“未评审”。
重复的	用户确定的漏洞共享类似的源，并且可以在类似的漏洞中跟踪。

查看漏洞细节

在InsightAppSec中显示的漏洞详细信息会显示漏洞年龄和严重程度等信息，您可以根据这些信息确定漏洞的优先级。您还可以更深入地了解应用程序用于确定存在漏洞的请求和响应。

使用复制漏洞链接按钮复制并共享漏洞信息的链接。您可以与任何人共享此链接，但只有具有Insightappsec的有效登录凭据的用户将能够看到它。

我可以从漏洞细节中学到什么？

漏洞详细信息包括有关攻击、响应和其他跟踪字段的关键信息，这些跟踪字段可以帮助您确定漏洞的最佳状态和下一步。例如，在将漏洞标记为“忽略”之前，您需要查看漏洞详细信息，以帮助确认该漏洞不是一个风险。

为了帮助您更好地理解漏洞，请查看漏洞详细信息。

模块

使用的攻击导致漏洞。

严重程度

InsightAppSec提供了两种方法来根据严重程度对漏洞进行优先级排序:

属性计算的数值(0-10)和相关的向量字符串CVSS计算器对于一个弱点的主要特征。有关CVSS分数、向量字符串和计算的更多信息，请查看CVSS规范文档。

分配给漏洞类型的严重性级别，可以是默认模块严重性，也可以是从自定义攻击模块中选择的严重性。

严重程度	描述
高	严重程度高的漏洞可能导致攻击者获得对应用程序及其数据、信任、隐私和/或可用性的完全控制。建议立即采取行动以防止潜在的灾难性攻击，因为高度严重的漏洞经常被不依赖于用户交互的自动化工具利用。
媒介	中等严重程度漏洞可能导致攻击者获得部分控制申请以及其数据，信任，隐私和/或可用性。应用程序配置中的缺陷和错误通常是如何利用这些漏洞的。虽然这些类型的攻击需要更多的努力和攻击者技巧，但成功的违规行为仍然可以产生重大的负面影响。
低	低严重程度的漏洞可能导致攻击者获得为攻击做准备的情报。要使这些攻击成功，需要对一些漏洞区域(如用户错误、糟糕的身份验证方法和相关漏洞)进行调整。收集到的任何数据看起来都是无害的，但却可能被用来促进更大规模的攻击。
信息	这些发现只是我们对应用程序组件和配置发现的信息。此数据可能对攻击者收集信息可能有用，但对漏洞利用没有直接影响。

为什么有两个严重程度评分?

两个分数的好处是您可以将Insightappsec的分数与CVSS分数进行比较。您可以编辑Insightappsec生成的信息，低，媒体和高的严重性分数，但不是CVSS 3.1计算器生成的CVSS分数。由于在验证期间，CVSS分数可能显示出与严重性评分不同的严重性水平。例如，用户审查具有高CVS和严重性分数的漏洞，并确定为孤立应用程序，风险实际上很低。
对于严重程度评分差异较大的情况，请查看漏洞历史记录和详细信息，以验证正确的级别。

检测

首次和最近发现该漏洞的时间，以及检测到该漏洞的次数。

一般信息

找到漏洞的应用程序的链接，实例的唯一十六进制ID，以及该漏洞实例是否被导出到Jira的指示符。

根本原因

找到漏洞的Web资源的URL以及用于攻击的HTTP请求参数和方法。

攻击方差

Insightappsec可以尝试对URL上同一攻击的多种变体，以确保应用程序的安全性对抗各种攻击。例如，您可能会保护您的应用程序在Web表单中的某些特殊字符中保护您的应用程序，而不是其他特殊字符。攻击variances部分包含多个标签，用于insightappsec尝试的攻击的每个变化。

攻击方差包括以下信息: